渗透技巧——Pass the Hash with Remote Desktop
渗透技巧——Pass the Hash with Remote Desktop
在渗透测试中,如果获得了某个用户的NTLM hash,我们可以尝试使用Pass the hash的 *** 对WMI和 *** B服务进行登录,那么,Pass the hash能否用于远程桌面呢?这其中有什么限制条件呢?本文将要进行测试并总结。
关于Pass the hash的利用可参考之前的文章:
《域渗透——Pass The Hash的实现》
本文将要介绍以下内容:
Restricted Admin mode介绍
Pass the Hash with Remote Desktop的适用条件
Pass the Hash with Remote Desktop的实现 ***
官方说明:
https://blogs.technet.microsoft.com/kfalde/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2/
本节参照官方说明,加入个人理解,如果有误,欢迎纠正
Restricted Admin mode,直译为受限管理模式,主要功能是使得凭据不会暴露在目标系统中
Windows 8.1和Windows Server 2012 R2默认支持该功能
Windows 7和Windows Server 2008 R2默认不支持,需要安装补丁2871997、2973351
注:
相关资料可参考:
https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2016/2871997
https://support.microsoft.com/en-us/help/2973351/microsoft-security-advisory-registry-update-to-improve-credentials-pro
*** 1: 安装补丁3126593
实现原理同下文的 *** 2(修改注册表)
参考链接:
https://support.microsoft.com/en-us/help/2973351/microsoft-security-advisory-registry-update-to-improve-credentials-pro
*** 2: 修改注册表
位置:
新建键值,值为,代表开启;值为,代表关闭
对应命令行开启的命令如下:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
客户端命令行:
mstsc.exe /restrictedadmin
如果当前系统不支持Restricted Admin mode,执行后弹出远程桌面的参数说明,如下图
如果当前系统支持Restricted Admin mode,执行后弹出远程桌面的登录界面,如下图
值得注意的是,Restricted Admin mode使用当前Windows登录凭据,不需要输入口令,直接登录即可
注:
正是这项功能使得Pass the hash的利用有了可能
更进一步,Pass the Hash with Remote Desktop的前提就是系统支持Restricted Admin mode
具体的说,Server需要开启Restricted Admin mode,Client需要支持Restricted Admin mode
注:
一些资料提到Pass the Hash with Remote Desktop适用于Windows 8.1和Windows Server 2012 R2,这个结论并不确切,准确的说,Windows 7和Windows Server 2008 R2安装补丁后同样适用
测试环境:
Server:
OS: Server2012 R2
IP: 192.168.62.136
Computer Name: remoteserver
User Name: administrator
NTLM hash: d25ecd13fddbb542d2e16da4f9e0333d
开启Restricted Admin mode
Client:
支持Restricted Admin mode
实际上为
需要管理员权限
mimikatz命令如下:
privilege::debug
sekurlsa::pth /user:administrator /domain:remoteserver /ntlm:d25ecd13fddbb542d2e16da4f9e0333d "/run:mstsc.exe /restrictedadmin"
执行后弹出远程登录界面,如下图
选择,成功实现远程登录
下载地址:
https://github.com/FreeRDP
可供参考的文章:
https://labs.portcullis.co.uk/blog/new-restricted-admin-feature-of-rdp-8-1-allows-pass-the-hash/
https://www.kali.org/penetration-testing/passing-hash-remote-desktop/
FreeRDP实现了远程桌面协议,支持传入hash
支持Linux、Windows和MAC,下载地址如下:
https://github.com/FreeRDP/FreeRDP/wiki/PreBuilds
linux下使用明文远程登录的参数:
xfreerdp /u:administrator /p:test123! /v:192.168.62.136 /cert-ignore
测试成功
linux下使用hash远程登录的参数:
xfreerdp /u:administrator /pth:d25ecd13fddbb542d2e16da4f9e0333d /v:192.168.62.136 /cert-ignore
测试失败
Windows下也是同样的测试结果
猜测新版FreeRDP移除了该功能,其他人也有同样的测试结果,链接如下:
https://nullsec.us/rdp-sessions-with-xfreerdp-using-pth/
https://twitter.com/egyp7/status/776053410231558148
补充:
包含pth功能的旧版FreeRDP的的下载地址:
https://labs.portcullis.co.uk/download/FreeRDP-pth.tar.gz
需要重新编译,支持pth参数
Restricted Admin mode本来是为了提高系统的安全性,但是却支持了Pass the Hash的利用
所以在防御上,针对Pass the Hash的利用进行防御就好,开启Restricted Admin mode有助于提高系统的安全性
可参考微软官方文档,地址如下:
http://www.microsoft.com/en-us/download/details.aspxid=36036
本文对Pass the Hash with Remote Desktop的 *** 进行了分析,找到了其中的限制条件(Server需要开启Restricted Admin mode,Client需要支持Restricted Admin mode),对Restricted Admin mode的关键部分进行了说明。
渗透技巧——Pass the Hash with Remote Desktop
相关文章
真的黑客先办事后付款真实有效 自学黑客技术牟
一个月前,有人对“平昌”和“昌平”傻傻分不清楚,让北京昌平区的小伙伴笑岔了气,连忙辟谣:一个月就想让我举办冬奥会,玩不起玩不起。 幺蛾子刚过没多久,韩国媒体报道,平昌冬奥会组委会 2 月 10 日(...
怎么查看以前的微信聊天记录如何查他人手机通话记录
怎么查看以前的微信聊天记录如何查他人手机通话记录扬州市当地口腔门诊骨干企业李军口腔门诊二十周年:广告词万余米! 扬州市当地牙科医疗龙头企业公司李军口腔科,二十岁! 扬州市六味牙科医院创立...
胎记是怎么得的(身上的胎记是怎样形成的)
红色胎记是大家出世的情况下,随身带的一种标志,这类标志因人有所不同的,有的人能够有,有的人却沒有,并且有些人生长发育红色胎记,位置会较为醒目,例如长在脸部,还有的人,尽管有红色胎记,可是却不太起眼...
财政赤字是什么意思(什么是赤字率)
很多关心时政的朋友会发现,在新闻报道过程中经常会听到“财政赤字”这一字眼,但是一直难解其意。面对财政赤字问题人们有很多疑问,例如财政赤字是什么意思?目前我国财政赤字率是多少?财政赤字率是如何计算出来的...
网上黑客追回被骗的钱
最后提醒大家的一点:就是千万不要相信有人和你说他也被骗过他之前找谁谁谁帮忙追回来的然后介绍给你让你去找千万不要上当, 假的,我也上过当,被骗了二千元整。就当给黄志炜先生吃药了烧纸钱了。祝骗子们早点到阴...
门前的怎么写(门头的门怎么写)
本文导读目录: 1、写门前的一段路应该怎么写 2、高中作文我家门前那条路的作文怎么写 3、门前的葱作文350字怎么写 4、作文;门前的梧桐树 (要借梧桐树喻人)怎么写? 5、门前的台阶...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!