0x00 前言
系统管理员和用户通常可以通过RDP(远程桌面)协议登录指定服务器,而攻击者可以通过可以特权提升至SYSTEM权限的用户,可以在不知道其他用户登录凭据的情况下,用来劫持其他用户的RDP会话。
0x01 利用条件
| 需要管理员 | 本地组成员 | 攻击ID |
|---|---|---|
| 是 | Administrators | 不适用 |
0x02 过程
当已经获取了本地管理组的用户权限,可以尝试提到SYSTEM权限,并在命令行或者任务管理器查看可用的会话列表:
quser
查看已有的用户会话,可以无需登录凭证劫持任意存在的会话。
通过tscon命令,正常切换会话需要输入对应用户的密码。
比如切换到会话ID为2的用户:
tscon 2 /PASSWORD:xxxxxxxx在SYSTEM权限下切换的话无需密码即可切换。
我们可以指定从直接切到ID为2的这个会话,并从larry这个用户桌面切换:
使用/dest:指定当前会话的名称。
tscon 2 /dest:console可以看到成功来到了2的桌面。
0x03 场景
目前在较新版本如Windows10/2016等版本均可以劫持,可以设想会有以下几种场景可以尝试这种方法。
1、域内当域管理员登入到当前机器,切换到域管理员账号桌面进而获得域管权限。
2、12/16等版本无法直接转存内存文件获取用户的密码,但是可以操作存在的用户会话,进而获取用户的权限。
0x04 总结
一些思考:
在内网渗透中,或有奇效,想象一下更多的场景,mark一下。
0x05 参考
Passwordless RDP Session Hijacking Feature All Windows versions
原文作者:Keefe
原文链接:后渗透之RDP会话劫持
版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可