横向渗透之 [RDP]

​一、RDP 服务确定和启动

1 确定RDP服务是否启动和服务端口

（1）注册表查询

（2）进程查看

2 启动RDP服务

（1）cmd 本地注册表启动

也可以通过reg配置文件的方式启动：regedit /s startrdpreg

（2） 利用Wmic 启动远程主机的RDP服务

二、RDP 用户登录前

（1） 明文密码：RDP爆破，SMB爆破（使用MSF中的smb_login 模块可以确定有效用户并判断是否是管理员组的）等工具

（2） Hash：Impacket工具包中的rdp_checkpy 脚本可以通过hash确定目标机器是否存在枚举的用户

当用户存在时会提示 Access Granted，否者提示 Access Denied

（3） RDP中间人：Seth

执行后客户端链接服务器会失败，过段时间恢复正常

但是如果普通的用户，那需要进一步判断目标系统来确定合适的登录时机

（1） Windows XP、2003 支持统一用户登陆多地登陆互不影响，使用query user查看在线用户，XP没有该命令也可以使用taskmgr从任务管理器查看，同一权限下可以相互注 销会话。

（2） 非服务器版本的Windows 系统默认只允许一个账户登录。当远程用户登录时使用与原系统相同的账户，原系统将切换到登陆页面，并会看到登陆的机器名

如果使用不同的账户，原系统将d窗提示其他用户已登陆到此计算机

选择继续后，原系统将会提示是否端口当前链接（30s后默认选择同意，退出到登陆页面）

（1） mstscexe

可以通过如下命令开启 Restricted Admin mode

开启后使用：mstscexe /restrictedadmin 进行登录不需要密码，将使用当前用户的hash 进行验证

（2） mimikatzexe

4 Linux上使用用户hash登录

PS：这里有一个坑，高版本xfreerdp不支持 /pth 参数，可以使用上面的安装命令安装支持/pth的版本,也可以使用kali/parrot中默认安装好

PS2：如果RDP服务启动了，客户端无法链接，可能是防火墙配置的问题，可以执行如下命 令添加防火墙规则允许3389端口TCP通信

PS3：如果出现远程连接出现身份验证错误，要求的函数不支持，解决方法：

四、关于 RDP 权限维持方法

1 关闭 RDP 安全认证

当服务器开启安全认证时，必须先通过登陆密码才能进入远程桌面；如果服务端用的是 不安全的认证方式，即可以先远程链接后登陆可以触发Shift后门

如何设置不安全的连接，去掉”仅允许使用网络级别的身份验证的远程桌面的计算机连 接”选项，需要注意的是先上系统后验证也会在计算机本地留下一定的进程、日志。

2 Shift后门 + RDP劫持

配合上面的关闭RDP安全认证方式，利用Shift后门可以让攻击者快速获得System权 限，结合RDP劫持可以实现无需创建用户、不更改劫持用户登录时间、解锁劫持用户界面、 等功能。注意RDP劫持需要System权限

另外一种方法可以通过创建服务激活

Mimikatz中也有相关的利用模块

3 开启多人登录模式

（1）手动设置：将计算机配置（Computer Configuration）->管理模板 （Administrative Templates）->Windows组件（Windows Components）->远程桌面 服务（Remote Desktop Services）->远程桌面会话主机（Remote Desktop Session Host）->链接（Connections）,禁用”将远程桌面服务的用户限制到单独的远程桌面会 话”（Restrict Remote Desktop Services users to a single Remote Desktop Services session） （2）Mimikatz 开启多用户登录，支持Win 7 及以前的版本系统

PS：使用与原系统相同的账户，原系统还是会被切换到登录界面；不同账户登陆成功 （3）RDPwrap：支持Win Vista - Win10

（4）SharpDoor：仅使用于Win 10 开启多会话RDP

五、RDP 服务器反打客户端

需要客户端RDP链接时，开启磁盘共享（将本地磁盘挂在到服务器上）才能正常利用

2 手动利用过程：假设客户端和登录服务器的用户都是Administrator

\Startup\powershellvbs 作用是无d窗执行bat脚本

（2）Windowsbat 脚本内容实现马（serviceexe）拷贝到客户端的启动目录

也可以根据实际情况，将Rat拷贝到客户端的其他目录，将激活脚本拷贝到客户端启动目 录；如果不出网的情况下，也可以将exe替换成要执行的脚本 。

rdp 文件包含到终端服务器的连接的所有信息，包括保存文件时配置的“选项”设置。可以自定义任何数目的 rdp 文件，包括用于连接到具有不同设置的相同服务器的文件。例如，可以以全屏模式将连接到 MyServer 的某个文件保存起来，也可以以 800×600 的屏幕将连接到相同计算机的其他文件保存起来。默认的连接文件 Defaultrdp 作为隐藏文件存储在“我的文档”中。 以下是微软网站的解释： 简介 当您使用远程桌面协议 (RDP) 连接到远程计算机时，将在客户端计算机上创建 Defaultrdp 文件。本文讨论存储在 Defaultrdp 文件中的连接设置。

Citrix比RDP的主要优势是: 1、 连接速度更快 2、 安全性能高 3、 服务器端可管理和维护性高 4、 支持更多的设备，更好的支持远程办公 Windows 2000 Server 中所用的终端服务和RDP协议，源自Citrix的MetaFrame产品和ICA协议，但仅包含其中的小部分基础功能。从网络OSI模型的角度来看，ICA协议和RDP协议都是基于网络层和传输层之上，可以主要从三个方面来比较两种产品的性能差异：
1、 协定基础 RDP协定只能以TCP/IP协定基础，ICA协议能够适用于TCP/IP、IPX/SPX和NetBEUI等多种协议。其中，IPX/SPX协议被国内很多用户所采用，广泛应用于Novell网络。 MetaFrame可以应用于多种网络连接方式，如LAN、WAN、RAS dial-up、Direct serial connection(async)、Direct dial-up和Browse available servers等。而Windows 2000 Server 只适用于上述连接方式中的前三种，即LAN、WAN和RAS dial-up。 主要的是Citrix在ICA协议的基础上，提供了各种增值服务，负载平衡服务，资源管理服务，安装管理服务及NFuse等。而RDP基础上几乎没有任何服务。
2、 协议特征 RDP支持本地打印和本地客户打印假脱机。ICA除支持这两项功能以外，还具备以下不同的特征： 色彩：ICA协议支持真彩(24位色)，RDP协议只支持256色。 分辨率：ICA协议支持无限大（64000X64000），RDP协议只支持800x600。 驱动映像：ICA协议可以将本地资源和服务器资源无缝地集成在一起，给用户的 *** 作带来极大的方便。RDP协议不具备此功能。 COM埠映射：ICA协议可以支持多种串口外设，RDP协议不具备此功能。 SpeedScreen2：该项专利技术大大减少了网络传输数据量，一般情况下，平均每个用户的正常工作仅占用10Kbps。最近，SpeedScreen3已正式推出，解决了通过广域网系统发布应用程序普遍存在的延时问题。 协议稳定性：ICA协议的稳定性优于RDP协议。 多媒体支持：ICA协议能够支持音频、视频和多媒体带宽控制。而RDP不支持多媒体。
3、基于协议的应用： 在ICA协议之上，有一个丰富的应用层，能够给用户提供完善的Server-based Computing整体解决方案：无论是服务器端还是客户端，无论是用户接口还是后台支持，无论是可靠性还是扩展性，无论是资源管理还是网络带宽的高效利用，用户都可根据需要选择适当的MetaFrame及配套产品。可以从下面的分类比较中进行分析和对照： 客户端 *** 作系统广泛性 几乎现有的所有客户端的 *** 作系统，都适合安装ICA客户软件，以访问MetaFrame应用服务器。其中包括： Windows NT Windows 95/98 Windows 311(Workgroups) Windows 31 Windows CE DOS Macintosh (Motorola, PowerPC) Browser—Internet Explorer Browser—Netscape UNIX- ALL major platform Java—JDK 11 Java—JDK 10 RISC OS PS OS NCI OS Net OS 而RDP协议只支持下面四种客户端 *** 作系统： Windows NT Windows 95/98 Windows 311(Workgroups) Windows CE 客户端设备 同样，通过Citrix的ICA协议，几乎现有的所有形式的客户端硬设备，都可以应用在Server-based Computing网络模式中，主要包括： PC机（DOS、Windows、UNIX、Linux等 *** 作系统） Macintosh机（Motorola、PowerPC等） 手持计算机（HP Jornada、Compaq Cseries等） 网络计算机（Sun Java Station、IBM Network Station等） Windows终端（Win CE、DOS、Linux等 *** 作系统） 网络终端（如Wyse Winterm 5000） 机顶盒设备（如BocaVision STB121） 而Windows 2000 Server中的终端服务功能只能在下列设备上得到实现： PC（Windows 311或以上版本） 手持计算机（HP Jornada、Compaq Cseries等） 基于Win CE的WBT 客户端应用特征 MetaFrame和Windows 2000 Server都具有位图缓存、自动建置打印机、剪贴板复位向等功能，但MetaFrame更能提供如下卓越功能： Seamless Windows：用户可把本地和远程的应用程序无缝地集成在同一个窗口，使用户使用应用程序时，感觉不到程序在本地还是服务器上运行。 Business Recovery Client：保证客户端业务的连续性，提高系统的容错水平。 Program Neighborhood：该功能可以方便地将基于服务器的应用程序的图标，发布到用户的客户端，或直接放到用户的32位Windows桌面上或“开始”菜单的程序集中。 服务器应用特征 在应用服务器端，MetaFrame可以用户提供系统管理的功能特征： 一对一的Shadowing 一对多的Shadowing 多对一的Shadowing 跨服务器的Shadowing 应用程序发布 Program Neighborhood 跨域管理 跨子网管理 客户端自动升级 Shadow工具栏 发布应用程序到Web上 管理员工具栏 而Windows 2000 Server的终端服务仅仅提供一对一的Shadowing功能。 管理服务 在MetaFrame 产品之上，Citrix公司提供功能强大的服务软件，主要包括： Load Balancing：动态路由用户至“最休闲”的服务器，以实现优化的负载平衡和集群管理，赋予系统强大的可靠性和可扩展性。没有负载平衡功能构建的网络，只能是每台服务器单独运行，而且随用户的增加，系统不能扩展。W2K的Terminal Service没有负载平衡技术。 Advanced Load Balancing：附加提供应用程序的发布与管理服务功能。 资源管理服务(RMS)：系统管理员有效控制整个系统的资源配置和效率。 安装管理服务(IMS)：简化对多个应用服务器的系统及应用的安装、设置和管理工作。 安全管理服务 加密技术 在此方面，Windows 2000 Server能够提供资源管理服务、加密技术，而 Windows 2000 Server终端服务的NLB（Network Load Balancing）功能仅限于Windows 2000 Advanced Server版本，并且是一种“轮询式”负载平衡，只能用于作Web Server,不能用于应用服务器的集群工作模式。因此，Citrix MetaFrame尤其适用于基于广域网的企业级集中控管系统，极大拓展和增强了Windows 2000 Server的涵盖范围和功能特征。

---