鸡肋的RDP反制

更新时间:2023年07月19日09:18:29

鸡肋的RDP反制_第1张图片

为什么叫鸡肋:

鸡肋者,食之无肉,弃之有味。 你说不能成吧,但是有成功案例,你说成了吧,要求太高,还要看运气的。

一句话:对方需要开启磁盘共享,不开启,没办法反制!

1.背景介绍

在很多攻防中,蓝队想要根据一台公网的RDP服务器或者Windows蜜罐服务器,获取攻击者本身的真实pc,可以尝试使用RDP反制来操作,本文以此为背景,进行学习记录。

在这里还有一个专利是关于反制的,总体看下来,貌似和下面的图中的技术差不多: https://patents.google.com/patent/CN112134868A/zh

鸡肋的RDP反制_第2张图片

2.环境准备

  • 靶机(VPS):Windows server2012

    192.168.135.133,开启3389
  • CS 4.5 192.168.22.103

    在这里控靶机,顺便反制Windows10机器的
  • Windows10 192.168.135.167

    模拟需要被反制的机器

在这先生成一个木马,控制server2012,模拟已经控制了该机器:

鸡肋的RDP反制_第3张图片

为了后文看起来比较容易,在这里统称当前Windows server2012为vps。

鸡肋的RDP反制_第4张图片

此时3389处于开放监听的状态:

鸡肋的RDP反制_第5张图片

3.RDP反制

此时这个服务器已经被控,维护人员用Windows来3389连接这个vps,首先看下本地win10远程登录的选项:

鸡肋的RDP反制_第6张图片

在高级选项详细信息这里可以看到,当前的机器中驱动器默认是不选择的:

鸡肋的RDP反制_第7张图片

我们连接到vps这台机器上看下。

3.1 远程登录的机器主动勾选磁盘分享

在当前vps的网络里面是可以看到当前win10的机器的,叫做tsclient

鸡肋的RDP反制_第8张图片

但是我们目前是无法获取到win10机器的任何信息的,因为没有开启任何的真正意义上的共享:

鸡肋的RDP反制_第9张图片

除非win10上默认勾选了驱动器的分享:

鸡肋的RDP反制_第10张图片

如果已经勾选的话,此时会多出来一个框提醒你是否连接:

鸡肋的RDP反制_第11张图片

当前刷新可以看到,此时从vps上已经可以看到win10的共享信息了:

鸡肋的RDP反制_第12张图片

但是在实际上,默认情况下,没有这么傻的人,不可能默认分享自己的磁盘的,但是这种概率不代表不存在,如果是在内网里面,也可能有概率吧。 如果关闭的话,就打不开了:

鸡肋的RDP反制_第13张图片

3.2 大部分默认情况下

在大部分情况下,不开启默认分享,就是正常的3389登录之后,如何反制呢? 其实在这里通过kill掉复制粘贴的进程,促使对方开启共享(看运气)

此时我们就要借助一个复制粘贴的进程了:

鸡肋的RDP反制_第14张图片

在这里可以尝试使用剪切板劫持攻击,在使用mstsc进行远程桌面的时候,会启动一个叫 rdpclip.exe 的进程,该进程的功能是同步服务端与客户端的剪贴板。具体的原理如下图:

鸡肋的RDP反制_第15张图片

来源:红蓝对抗中rdp协议的利用 - 网安

当我们没有远程的时候,我们看下vps的进程表:

鸡肋的RDP反制_第16张图片

在这里除了正常的进程之外,还有一个我们的beacon.exe进程,等对方3389到这台vps之后看下:

dir \\tsclient\c

鸡肋的RDP反制_第17张图片

此时对方没有开启c盘共享 看下进程:

鸡肋的RDP反制_第18张图片

鸡肋的RDP反制_第19张图片

在这里,我们可以看到里面多了一个rdpclip.exe的进程,这个是管理粘贴和复制的,具体的原理可以参考: 红蓝对抗中rdp协议的利用 - 网安 在这里不再展开(个人技术有限,展不开) 此时正在远程的人是可以粘贴、复制文件到本机或者远程的机器的:

鸡肋的RDP反制_第20张图片

如果此时,我们通过cs将该进程直接kill掉:

taskkill /F /PID 2736

鸡肋的RDP反制_第21张图片

正在远程的人就没法在两个系统间进行粘贴和复制了。 此时如果想粘贴复制的话,就得重启mstsc再试试:

鸡肋的RDP反制_第22张图片

重启之后,又可以粘贴复制了,但还是没有勾选那个c盘映射。 我们再给kill掉,继续让他重启,直到其怀疑人生,然后就开始搜索: 为什么3389之后的机器,无法复制粘贴? 网上的答案都是基于rdpclip.exe的:

鸡肋的RDP反制_第23张图片

但是实际上,个人感觉除了乱点之外,很少能够点开磁盘分享的,在这里倒是有一篇: 再捉“隔壁小王”

通过多次kill之后,对方开始怀疑人生,开始乱点,然后勾选了,假设勾选之后呢:

鸡肋的RDP反制_第24张图片

再去连接的话,从cs上看看,就可以看到目录结构了:

鸡肋的RDP反制_第25张图片

此时就算是目的达到了,在这里就可以翻翻他们的文件啥的了:

鸡肋的RDP反制_第26张图片

其实从这里,就可以用基础的Windows命令搞事了,比如你可以把cs马直接移动到他的pc上去:

shell copy C:\Users\crow\Desktop\beacon.exe \\tsclient\c\users\admin\desktop\

image.png

鸡肋的RDP反制_第27张图片

假设这里没有杀软,我们将这个文件还原到桌面上去,我们只能够对这个文件进行复制下载等操作,是无法直接让其在Windows10上运行的: 一句话来说,我们可以浏览文件、复制文件、删除文件,就是不可以运行文件。

鸡肋的RDP反制_第28张图片

就算是在3389的桌面上这样运行,也只能够在vps上显示:

image.png

因此,在作者的文章中提到了一个思路,将木马捆绑到一个常用的可执行文件上,然后等对方点击的时候,就上线了。 在这里可以重点看下c盘的桌面有啥可执行文件,无论是捆绑还是dll劫持,其实都是可以的:

在这里因为时间问题,直接建设我们将一个caser.exe捆绑了我们的木马程序,等连接的人去点击:

鸡肋的RDP反制_第29张图片

此时我们的木马已经上线了:

鸡肋的RDP反制_第30张图片

当然,我们在这里用的是普通的权限,如果想要高权限的话,就要找一些高权限运行的应用了,这个要看运气的。

3.3 mac连接

使用mac连接的话,可以用Microsoft Remote Desktop来连接:

鸡肋的RDP反制_第31张图片

可以看到当前也是无权限的:

鸡肋的RDP反制_第32张图片

4.总结

总体来说,这种反向攻击非常考察是否开启了共享,如果没有开启,依照目前公开的方法来看的话,是没有办法继续搞下去的。 至于那个剪切板窃取的CVE-2019-0887,一样需要开启磁盘共享,而且这个不稳定,有作者证实在win10上运行失效。

鸡肋的RDP反制_第33张图片

在这里非常非常非常看运气,当然,技术也是很重要。

你可能感兴趣的:(工具,主机漏洞复现,乌鸦安全,渗透测试,反制,RDP,远程登录,3389)