NTUSTISC - AD Note - Lab(0x22 遠端執行(RDP))
Lecture Video: 2022/05/11 AD 安全 2
Background
終端使用者授權合約(英語:end-user license agreements,英文縮寫:EULA)是指軟體的開發者或發行者授權使用者使用特定軟體產品時的規定,大多私有軟體附帶此合約,如不接受則無法安裝。不過自由軟體則較少使用這個合約
Lab
此Lab主要是要讓我們可以遠端執行其他人的電腦,當我們已經取得local admin時,但domain admin遲遲沒有出現,我們就需要多找幾台主機試看看,可不可以登入或是遠端連線,這樣從一台主機出發,多幾台主機一起蹲domain admin的機會就會變大,可能會有疑問,要怎麼知道其他電腦的密碼呢?如果這一間公司它沒有使用之前介紹過的LAPS密碼管理工具,而且又是委外管理,則很有可能會有多台主機的密碼都一樣,然後再用前面提到的多種密碼提取方法(Brute Force SAM/Password Spraying etc),得到更多台主機的密碼,然後再利用Mimikatz之類的工具把lsass的info leak出來,就有可能得到domain admin的密碼
遠端執行(RDP)
Linux / Kali
- Tools
- xfreerdp
1
$ sudo apt install freerdp2-x11 -y -
Libfreerdp
先到https://packages.debian.org/sid/libfreerdp-client2-2這個頁面看一下要下載哪一個版本,Kali是amd64
1
2$ cd ~/Downloads $ wget http://ftp.tw.debian.org/debian/pool/main/f/freerdp2/libfreerdp-client2-2_2.10.0+dfsg1-1.1_amd64.deb
- xfreerdp
Windows
-
Tools: Psexec.exe
微軟的遠端執行工具,具有微軟的簽章,第一次使用需要接受EULA
1
$ PsExec.exe -i \<Remote IP> -accepteula -u [<domain>]\<Remote Username> -p <Remote Password> cmd
How to use xfreerdp
網路上有很多文章和教學12,不過他們的情況和我們的狀況有點不一樣
使用條件:Win2016一定要打開,事先取得帳號的密碼
- Check Win10 IP
1
2
3
4
5
6
7
8
9
10
11
12$ ipconfig Windows IP 設定 乙太網路卡 Ethernet0: 連線特定 DNS 尾碼 . . . . . . . . : localdomain 連結-本機 IPv6 位址 . . . . . . . : fe80::e490:37a2:d10e:a709%5 IPv4 位址 . . . . . . . . . . . . : 192.168.222.129 子網路遮罩 . . . . . . . . . . . .: 255.255.255.0 預設閘道 . . . . . . . . . . . . .: 192.168.222.2 - Connect
1
$ xfreerdp /d:kuma.org /p:1qaz@WSX3edc /v:192.168.222.129 /u:administrator
Libfreerdp不知道為甚麼,安裝都會失敗,而且網路上也沒有其他教學或資源,所以先skip,反正有xfreerdp可以用
How to use PsExec
1 | |
值得一提的是,PsExec或xfreerdp貌似無法登入bear的帳號,只能連線administrator的帳
How to detect PsExec
- Event ID: 7045 → 必須在遭受遠端連線的主機開啟此event,因為相關特徵是只有被遠端的主機才會產生的行為