12 KiB
3389 - Pentesting RDP
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling van eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.
Onmiddellik beskikbare opset vir kwetsbaarheidsassessering en penetrasietoetsing. Voer 'n volledige pentest uit van enige plek met 20+ gereedskap en funksies wat strek van rekognisering tot verslagdoening. Ons vervang nie pentesters nie - ons ontwikkel aangepaste gereedskap, opsporings- en uitbuitingsmodules om hulle 'n bietjie tyd te gee om dieper te graaf, skulpe te kraak en pret te hê.
{% embed url="https://pentest-tools.com/" %}
Basiese Inligting
Ontwikkel deur Microsoft, is die Remote Desktop Protocol (RDP) ontwerp om 'n grafiese interfeesverbinding tussen rekenaars oor 'n netwerk moontlik te maak. Om so 'n verbinding tot stand te bring, word RDP-kliënt sagteware deur die gebruiker gebruik, en terselfdertyd moet die afgeleë rekenaar RDP-bediener sagteware bedryf. Hierdie opset maak dit moontlik om naadloos beheer en toegang tot die lessenaar-omgewing van 'n verre rekenaar te verkry, waardeur die gebruiker se plaaslike toestel die lessenaar-omgewing kan sien.
Verstekpoort: 3389
PORT STATE SERVICE
3389/tcp open ms-wbt-server
Opname
Outomaties
{% code overflow="wrap" %}
nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 <IP>
{% endcode %}
Dit kontroleer die beskikbare enkripsie en DoS kwesbaarheid (sonder om DoS na die diens te veroorsaak) en verkry NTLM Windows-inligting (weergawes).
Brute force
Wees versigtig, jy kan rekeninge sluit
Wagwoord Spuit
Wees versigtig, jy kan rekeninge sluit
# https://github.com/galkan/crowbar
crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
# hydra
hydra -L usernames.txt -p 'password123' 192.168.2.143 rdp
Verbind met bekende geloofsbriewe/hash
Om verbinding te maken met een Remote Desktop Protocol (RDP) server, kan je proberen om bekende geloofsbriewe of een hash te gebruiken. Dit kan handig zijn als je toegang wilt krijgen tot een RDP-server waarvan je de geloofsbriewe al kent of waarvan je de hash hebt verkregen.
Gebruik van bekende geloofsbriewe
Als je de gebruikersnaam en het wachtwoord kent van een geldige gebruiker op de RDP-server, kan je deze informatie gebruiken om verbinding te maken. Gebruik de volgende opdracht om verbinding te maken met de server:
xfreerdp /u:<gebruikersnaam> /p:<wachtwoord> /v:<IP-adres>
Vervang <gebruikersnaam> door de geldige gebruikersnaam, <wachtwoord> door het bijbehorende wachtwoord en <IP-adres> door het IP-adres van de RDP-server.
Gebruik van een hash
Als je een hash hebt verkregen van de geloofsbriewe van een geldige gebruiker, kan je deze hash gebruiken om verbinding te maken. Gebruik de volgende opdracht om verbinding te maken met de server:
xfreerdp /u:<gebruikersnaam> /pth:<NTLM-hash> /v:<IP-adres>
Vervang <gebruikersnaam> door de geldige gebruikersnaam en <NTLM-hash> door de verkregen NTLM-hash. <IP-adres> moet worden vervangen door het IP-adres van de RDP-server.
Opmerking: Het gebruik van een hash om verbinding te maken met een RDP-server kan handig zijn als je de geloofsbriewe niet in platte tekst hebt, maar alleen de hash ervan.
rdesktop -u <username> <IP>
rdesktop -d <domain> -u <username> -p <password> <IP>
xfreerdp [/d:domain] /u:<username> /p:<password> /v:<IP>
xfreerdp [/d:domain] /u:<username> /pth:<hash> /v:<IP> #Pass the hash
Kontroleer bekende geloofsbriewe teen RDP-dienste
rdp_check.py van impacket stel jou in staat om te kontroleer of sekere geloofsbriewe geldig is vir 'n RDP-diens:
rdp_check <domain>/<name>:<password>@<IP>
Onmiddellik beskikbare opset vir kwesbaarheidsassessering en penetrasietoetsing. Voer 'n volledige penetrasietoets uit van enige plek met 20+ gereedskap en funksies wat strek van verkenningswerk tot verslagdoening. Ons vervang nie penetrasietoetsers nie - ons ontwikkel aangepaste gereedskap, opsporings- en uitbuitingsmodules om hulle 'n bietjie tyd te gee om dieper te graaf, skulpe te laat spat en pret te hê.
{% embed url="https://pentest-tools.com/" %}
Aanvalle
Sessiediefstal
Met SYSTEM-toestemmings kan jy toegang verkry tot enige geopen RDP-sessie deur enige gebruiker sonder om die wagwoord van die eienaar te weet.
Kry geopen sessies:
query user
Toegang tot die gekose sessie
Om toegang te verkry tot die gekose sessie, kan jy die volgende stappe volg:
- Identifiseer die RDP-diens wat jy wil penetreer.
- Voer 'n skandering uit om die RDP-poort (gewoonlik poort 3389) te vind wat oop is vir kommunikasie.
- Maak 'n RDP-verbinding met die IP-adres van die doelwitmasjien deur gebruik te maak van 'n RDP-kliënt.
- As jy 'n geldige gebruikersnaam en wagwoord het, kan jy dit gebruik om aan te meld by die RDP-sessie.
- As jy nie geldige aanmeldingsbesonderhede het nie, kan jy probeer om 'n aanval uit te voer om toegang te verkry. Hier is 'n paar moontlike aanvalstegnieke:
- Brute force-aanval: Probeer om verskillende kombinasies van gebruikersname en wagwoorde te gebruik totdat jy suksesvol aanmeld.
- Woordeboekaanval: Gebruik 'n woordeboek van algemene wagwoorde om te probeer om aan te meld.
- Pass-the-Hash-aanval: As jy toegang het tot 'n geldige gebruikershash, kan jy dit gebruik om aan te meld sonder om die wagwoord te ken.
- Man-in-the-Middle-aanval: Probeer om die RDP-verkeer te onderskep en te manipuleer om toegang te verkry.
- As jy suksesvol toegang verkry het tot die RDP-sessie, kan jy die sessie gebruik om verdere verkennings- en aanvalstegnieke uit te voer.
tscon <ID> /dest:<SESSIONNAME>
Nou sal jy binne die gekose RDP-sessie wees en jy sal 'n gebruiker moet voorstel deur slegs Windows-gereedskap en funksies te gebruik.
Belangrik: Wanneer jy toegang verkry tot 'n aktiewe RDP-sessie, sal jy die gebruiker wat dit gebruik het, aftrap.
Jy kan wagwoorde kry deur dit uit die proses te dump, maar hierdie metode is baie vinniger en stel jou in staat om met die virtuele blad van die gebruiker te werk (wagwoorde in notepad sonder om op die skyf gestoor te word, ander RDP-sessies wat op ander masjiene oopgemaak is...)
Mimikatz
Jy kan ook mimikatz gebruik om dit te doen:
ts::sessions #Get sessions
ts::remote /id:2 #Connect to the session
Plakkerige sleutels & Utilman
Deur deze tegniek te kombineer met plakkerige sleutels of utilman sal jy in staat wees om enige tyd toegang te verkry tot 'n administratiewe CMD en enige RDP-sessie
Jy kan soek na RDP's wat reeds met een van hierdie tegnieke agterdeur is met: https://github.com/linuz/Sticky-Keys-Slayer
RDP-prosesinjeksie
As iemand van 'n ander domein of met betere voorregte inlog via RDP na die rekenaar waar jy 'n Admin is, kan jy jou sein in sy RDP-sessieproses inspuit en as hom optree:
{% content-ref url="../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md" %} rdp-sessions-abuse.md {% endcontent-ref %}
Gebruiker byvoeg tot RDP-groep
net localgroup "Remote Desktop Users" UserLoginName /add
Outomatiese Gereedskap
AutoRDPwn is 'n post-exploitation raamwerk wat in Powershell geskep is en hoofsaaklik ontwerp is om die Shadow-aanval op Microsoft Windows-rekenaars outomaties te outomatiseer. Hierdie kwesbaarheid (deur Microsoft as 'n funksie gelys) stel 'n afgeleë aanvaller in staat om sy slagoffer se lessenaar sonder sy toestemming te sien, en selfs op aanvraag te beheer, deur gebruik te maak van hulpmiddels wat inherent is aan die bedryfstelsel self.
- EvilRDP
- Beheer muis en sleutelbord outomaties vanaf die opdraglyn
- Beheer knipbord outomaties vanaf die opdraglyn
- Skep 'n SOCKS-proksi vanaf die kliënt wat netwerk kommunikasie na die teiken deur RDP kanaliseer
- Voer willekeurige SHELL- en PowerShell-opdragte op die teiken uit sonder om lêers op te laai
- Laai lêers op en aflaai vanaf die teiken, selfs as lêeroordragte op die teiken gedeaktiveer is
HackTricks Outomatiese Opdragte
Protocol_Name: RDP #Protocol Abbreviation if there is one.
Port_Number: 3389 #Comma separated if there is more than one.
Protocol_Description: Remote Desktop Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for RDP
Note: |
Developed by Microsoft, the Remote Desktop Protocol (RDP) is designed to enable a graphical interface connection between computers over a network. To establish such a connection, RDP client software is utilized by the user, and concurrently, the remote computer is required to operate RDP server software. This setup allows for the seamless control and access of a distant computer's desktop environment, essentially bringing its interface to the user's local device.
https://book.hacktricks.xyz/pentesting/pentesting-rdp
Entry_2:
Name: Nmap
Description: Nmap with RDP Scripts
Command: nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 {IP}
Onmiddellik beskikbare opset vir kwesbaarheidsbeoordeling en penetrasietoetsing. Voer 'n volledige penetrasietoets uit van enige plek met 20+ gereedskap en funksies wat strek van verkenningswerk tot verslagdoening. Ons vervang nie penetrasietoetsers nie - ons ontwikkel aangepaste gereedskap, opsporings- en uitbuitingsmodules om hulle tyd te gee om dieper te graaf, skulpe te kraak en pret te hê.
{% embed url="https://pentest-tools.com/" %}
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks-uitrusting
- Ontdek The PEASS Family, ons versameling eksklusiewe NFT's
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslagplekke.