HVV专题——鸡肋的RDP反制

更新时间：2023年07月19日09:18:29 为什么叫鸡肋： 鸡肋者，食之无肉，弃之有味。你说不能成吧，但是有成功案例，你说成了吧，要求太高，还要看运气的。 一句话：对方需要开启磁盘共享，不开启，没办法反制！ 1. 背景介绍 在很多攻防中，蓝队想要根据一台公网的RDP服务器或者Windows蜜罐服务器，获取攻击者本身的真实pc，可以尝试使用RDP反制来操作，本文以此为背景，进行学习记录。 在这里还有一个专利是关于反制的，总体看下来，貌似和下面的图中的技术差不多： https://patents.google.com/patent/CN112134868A/zh 2. 环境准备 靶机（VPS）：Windows server2012 192.168.135.133，开启3389 CS 4.5  192.168.22.103 在这里控靶机，顺便反制Windows10机器的 Windows10 192.168.135.167 模拟需要被反制的机器 在这先生成一个木马，控制server2012，模拟已经控制了该机器： image.png 为了后文看起来比较容易，在这里统称当前Windows server2012为vps。 image.png 此时3389处于开放监听的状态： image.png 3. RDP反制 此时这个服务器已经被控，维护人员用Windows来3389连接这个vps，首先看下本地win10远程登录的选项： image.png 在高级选项详细信息这里可以看到，当前的机器中驱动器默认是不选择的： image.png 我们连接到vps这台机器上看下。 3.1 远程登录的机器主动勾选磁盘分享 在当前vps的网络里面是可以看到当前win10的机器的，叫做tsclient： image.png 但是我们目前是无法获取到win10机器的任何信息的，因为没有开启任何的真正意义上的共享： image.png 除非win10上默认勾选了驱动器的分享： image.png 如果已经勾选的话，此时会多出来一个框提醒你是否连接： image.png 当前刷新可以看到，此时从vps上已经可以看到win10的共享信息了： image.png 但是在实际上，默认情况下，没有这么傻的人，不可能默认分享自己的磁盘的，但是这种概率不代表不存在，如果是在内网里面，也可能有概率吧。 如果关闭的话，就打不开了： image.png 3.2 大部分默认情况下 在大部分情况下，不开启默认分享，就是正常的3389登录之后，如何反制呢？其实在这里通过kill掉复制粘贴的进程，促使对方开启共享（看运气） 此时我们就要借助一个复制粘贴的进程了： image.png 在这里可以尝试使用剪切板劫持攻击，在使用mstsc进行远程桌面的时候，会启动一个叫rdpclip.exe的进程，该进程的功能是同步服务端与客户端的剪贴板。具体的原理如下图： image.png 来源：https://www.wangan.com/p/7fygf30ac93e0318 当我们没有远程的时候，我们看下vps的进程表： image.png 在这里除了正常的进程之外，还有一个我们的beacon.exe进程，等对方3389到这台vps之后看下： dir \tsclientc image.png 此时对方没有开启c盘共享，看下进程： image.pngimage.png 在这里，我们可以看到里面多了一个rdpclip.exe的进程，这个是管理粘贴和复制的，具体的原理可以参考： https://www.wangan.com/p/7fygf30ac93e0318在这里不再展开（个人技术有限，展不开） 此时正在远程的人是可以粘贴、复制文件到本机或者远程的机器的： image.png 如果此时，我们通过cs将该进程直接kill掉： taskkill /F /PID 2736 image.png 正在远程的人就没法在两个系统间进行粘贴和复制了。 此时如果想粘贴复制的话，就得重启mstsc再试试： image.png 重启之后，又可以粘贴复制了，但还是没有勾选那个c盘映射。 我们再给kill掉，继续让他重启，直到其怀疑人生，然后就开始搜索： 为什么3389之后的机器，无法复制粘贴？ 网上的答案都是基于rdpclip.exe的： image.png 但是实际上，个人感觉除了乱点之外，很少能够点开磁盘分享的，在这里倒是有一篇师傅写的让人膜拜的文章： https://mp.weixin.qq.com/s/JWUCj7KepHMsy2Q-MiGO7A 通过多次kill之后，对方开始怀疑人生，开始乱点，然后勾选了，假设勾选之后呢： image.png 再去连接的话，从cs上看看，就可以看到目录结构了： image.png 此时就算是目的达到了，在这里就可以翻翻他们的文件啥的了： image.png 其实从这里，就可以用基础的Windows命令搞事了，比如你可以把cs马直接移动到他的pc上去： shell copy C:UserscrowDesktopbeacon.exe \tsclientcusersadmindesktop image.pngimage.png 假设这里没有杀软，我们将这个文件还原到桌面上去，我们只能够对这个文件进行复制下载等操作，是无法直接让其在Windows10上运行的： 一句话来说，我们可以浏览文件、复制文件、删除文件，就是不可以运行文件。 、 就算是在3389的桌面上这样运行，也只能够在vps上显示： image.png 因此，在作者的文章中提到了一个思路，将木马捆绑到一个常用的可执行文件上，然后等对方点击的时候，就上线了。在这里可以重点看下c盘的桌面有啥可执行文件，无论是捆绑还是dll劫持，其实都是可以的。 在这里因为时间问题，直接建设我们将一个caser.exe捆绑了我们的木马程序，等连接的人去点击： image.png 此时我们的木马已经上线了： image.png 当然，我们在这里用的是普通的权限，如果想要高权限的话，就要找一些高权限运行的应用了，这个要看运气的。 3.3 mac连接-暂无法攻击 使用mac连接的话，可以用Microsoft Remote Desktop来连接： image.png 可以看到当前也是无权限的： image.png 4.总结 总体来说，这种反向攻击非常考察是否开启了共享，如果没有开启，依照目前公开的方法来看的话，是没有办法继续搞下去的。 至于那个剪切板窃取的CVE-2019-0887，一样需要开启磁盘共享，而且这个不稳定，有作者证实在win10上运行失效。 image.png 在这里非常非常非常看运气，当然，技术也是很重要。 文章来源：乌鸦安全 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END