MENU

后渗透之RDP会话劫持

June 24, 2020 • Read: 739 • 后渗透阅读设置

0x00 前言

系统管理员和用户通常可以通过RDP(远程桌面)协议登录指定服务器,而攻击者可以通过可以特权提升至SYSTEM权限的用户,可以在不知道其他用户登录凭据的情况下,用来劫持其他用户的RDP会话。

0x01 利用条件

需要管理员本地组成员攻击ID
Administrators不适用

0x02 过程

当已经获取了本地管理组的用户权限,可以尝试提到SYSTEM权限,并在命令行或者任务管理器查看可用的会话列表:

quser

image-20200624001930023.png

查看已有的用户会话,可以无需登录凭证劫持任意存在的会话。

通过tscon命令,正常切换会话需要输入对应用户的密码。

比如切换到会话ID为2的用户:

tscon 2 /PASSWORD:xxxxxxxx

在SYSTEM权限下切换的话无需密码即可切换。

我们可以指定从直接切到ID为2的这个会话,并从larry这个用户桌面切换:

使用/dest:指定当前会话的名称。

tscon 2 /dest:console

可以看到成功来到了2的桌面。

image-20200624004008504.png

0x03 场景

目前在较新版本如Windows10/2016等版本均可以劫持,可以设想会有以下几种场景可以尝试这种方法。

1、域内当域管理员登入到当前机器,切换到域管理员账号桌面进而获得域管权限。

2、12/16等版本无法直接转存内存文件获取用户的密码,但是可以操作存在的用户会话,进而获取用户的权限。

0x04 总结

一些思考:

在内网渗透中,或有奇效,想象一下更多的场景,mark一下。

0x05 参考

Passwordless RDP Session Hijacking Feature All Windows versions

Lateral Movement

原文作者:Keefe

原文链接:后渗透之RDP会话劫持

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可