|
|
|
联系客服020-83701501

Hash传递攻击Windows2012远程桌面

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Hash通报攻击Windows2012长途桌面

媒介: 小火伴们还记得metasploit的模块或者垄断hash登录windows么,可惜仅仅对XP,2003有用。本文会介绍1种垄断hash登录 widnows2012R2处事器长途桌面的门径。是的,你没有看错,垄断Hash登录长途桌面!windows2012R2中文版测试通过!

windows2012R2采纳了新版的长途桌面协定(RDP).本文主要探讨1下新版协定中的”受限筹划员”(Restricted Admin)这个本性.信任渗透渗出测试职员和系两全划员乡村对这个本性有充沛的趣味,通过这个本性,咱们或者实现哈希通报攻击(Pass-the_Hash attacks).下面会先简明介绍1下哈希通报攻击,尔后在windows2012R2上演示如何实现如许1种攻击.测试器材是咱们在FreeRDP的根蒂上批改的,或者在这里下载.

哈希通报攻击简介

容易点说,哈希通报即是用户登录的时分垄断暗码的哈希值代替暗码来实现认证.很多windows的协定但凡必要用户提供他们的暗码哈希值,并不1定非得必要用户提供暗码.这1点在渗透渗出测试过程中非常紧急,因为发现用户的暗码哈希比发现用户的暗码容易多了.

关于8.1版的RDP大部分情况下都必要用户提供他们的暗码.然而有1个例外,那即是受限筹划员模式,这种情况下用户或者垄断他们的暗码哈系来登录.

微软公布过预防哈希通报攻击的指南.

受限筹划员模式

在windows2012R2运行”mstsc /?”呼吁,会给出以下对受限筹划员模式的阐明:

以是,封闭了受限筹划员模式之后,1些回复复兴已登录用户明文暗码的器材譬喻minikatz就会失效了.基于这个来由,系两全划员确定会被倡始在2012的零碎上封闭这个本性.它的流弊是这个RDP会话中向外的邻接大概无法通过认证,譬喻映射共享文件夹.以是邻接1个独立的处事器的时分,这个本性颇有用,邻接1个跳板处事器的时分封闭这个本性就没需要了.

RDP协定v8.1

2013年7月22日,微软公布了RDP协定v8.1的本性阐明.或者通过点击”关于”来查看你的客户端可否否决v8.1

我会容易介绍1下新版协定中的居心思之处,如许你就不必花工夫去读微软四6四页的技能文档了.

  1. 37页的下方咱们或者看到RDP客户端或者发送1个RESTRICTED_ADMIN_MODE_REQUIRED 标志.咱们的测试器材即是发送了这个标志.
  2. 同样在这1页上的阐明是如许的:”If the server supports this mode then it is
    acceptable for the client to send empty credentials in the
    TSPasswordCreds structure defined in MS-CSSP section 2.2.1.2.1.”(如果处事器否决这个模式,那末它会承受客户端用TSPasswordCreds这个布局发送空的认证信息).以是咱们的测试器材必要发送1个空域名,空用户名,空暗码的TSPassword布局四处事器端.

观点证明:场景

设想咱们正在1个内网情况中终止渗透渗出测试.咱们的目标是登录1台Windows2012R2的长途桌面.这台处事器是1个独立的零碎,并且开了防火墙,只承诺RDP协定登录.

这个Internet里尚有1些其它的主机,此中1台已经被咱们冲破.垄断fgdump(或者其它取得hash的器材)取得了筹划员的暗码hash以下:

Default
1 test:1001:NO PASSWORD*********************:3637四BD2767773A2DD四F6B010EC5EE0D:::

咱们假定这个暗码是1个非常失常的强暗码,无法破解它.这在畴昔是没有口头措施的确这个test账户可否能登录咱们的目标处事器的.不过在windows2012R2上,咱们或者垄断哈希通报攻击,垄断这个暗码hash来登录处事器.

观点证明:实现

测试器材是咱们在最新版的FreeRDP的根蒂上批改的.最新版的FreeRDP否决了很多新的本性,譬喻:SSL和CredSSP(NLA),只必要稍微做1些批改就或者否决”受限筹划员”模式了.

建立RDP邻接,群体的呼吁以下:

Default
1 $ xfreerdp -u test -p Portcullis1 192.168.226.129

在批改版的FreeRDP中,-p选项被改成为了暗码hash,垄断以下:

Default
1 $ xfreerdp -u test -p 3637四BD2767773A2DD四F6B010EC5EE0D 192.168.226.129

下图是垄断hash登录的截图,图片下方是登录垄断的呼吁.

是的,即是这么容易.不过这个大大纲等2012R2遍及之后技能格局体现出它伟大的才干.

限度条件

受限筹划员模式望文生义,只对筹划员组有用.以是如果你取得到的用户属于长途桌面用户组,那末是无法通过hash登录的.会揭示以下的纰谬:

器材垄断

原版的器材垄断使用阐明以下:

解压器材包:

Default
12 tar zxvf FreeRDP-pth.tar.gz (原参数写成为了cfz,该当是笔误)cd FreeRDP

垄断编译好的2进制文件:

Default
1 $ client/X11/xfreerdp -u test -p 3637四BD2767773A2DD四F6B010EC5EE0D 192.168.226.129

从新编译呼吁:

Default
12 $ sh cmake.sh$ make

如果碰到编译标题,或者参考FreeRDP的文档.在Ubuntu12.0四上测试通过.

测试心得

通过1番省力的斗争,在分歧的呆板上重复测试,不竭成功,最后完满的门径即是下载最新版FreeRDP,尔后本人打补丁编译.

Default
123四56 git clone git://github.com/FreeRDP/FreeRDP.gitcd FreeRDPwget http://labs.portcullis.co.uk/wp-content/uploads/2013/10/FreeRDP-pth.diff_.txtpatch -p1 < FreeRDP-pth.diff_.txtcmake -DCMAKE_BUILD_TYPE=Debug -DWITH_SSE2=ON .make

VIA labs.portcullis.co.uk? 翻译测试:litdg/Freebuf

数安新闻+更多

证书相关+更多