Remote Desktop Protocol

Lateral move (yanal hərəkət) etmək istədiyimiz hostda "RestrictedAdmin" aktivdirsə, RDP protokolundan istifadə edərək hashı ötürə (pass the hash metodu) və plaintext parolu olmadan interaktiv sessiya əldə edə bilərik.

"RestrictedAdmin" uzaqdan idarəetmə zamanı təhlükəsizliyi artırmaq üçün Windows-da tətbiq edilən təhlükəsizlik xüsusiyyətidir. RDP ilə əlaqə qurulan zaman etimadnamələr(credentials) uzaq sistemə ötürülür və uzaq sistem onlardan yeni sessiya yaratmaq üçün istifadə edir. Əgər həmin remote sistem təcavüzkar tərəfindən ələ keçirilibsə, bu proses risk yaradır. Restricted Admin rejimi etimadnamələri birbaşa uzaq sistemə göndərməməklə bu problemi həll edir. Bunun əvəzinə, etimadnamələr originating sistemdə saxlanılır və restricted token uzaq sistemə göndərilir.

Mimikatz alətindən istifadə edərək "pass-the-hash" (PtH)" hücumu vasitəsilə /restrictedadmin" flag'i ilə remote desktop sessiyaları yaratmaq:

1.Debug Səlahiyyətinin verilməsi:

privilege::debug

Bu əmr Mimikatz'a debug səlahiyyəti verir. Windows'da müəyyən əməliyyatlar üçün xüsusi imtiyazlar tələb olunur və debug imtiyazı onlardan biridir. Bu imtiyazın verilməsi Mimikatz'ın bəzi funksiyaları üçün vacibdir.

2.Pass-the-Hash Hücumu:

sekurlsa::pth /user:<Username> /domain:<DomainName> /ntlm:<NTLMHash> /run:"mstsc.exe /restrictedadmin"

Bu əmrdə Mimikatz pass-the-hesh hücumunu həyata keçirmək üçün “sekurlsa::pth” modulundan istifadə edir.

/user: : Hədəf istifadəçi adını təyin edir.

/domain: : Hədəf domeni təyin edir.

/ntlm: : İstifadəçi parolunun NTLM hashını təyin edir.

/run:"mstsc.exe /restrictedadmin": Hash'i uğurla keçdikdən sonra işə salınacaq əmri təyin edir. Bu nümunədə, "/restrictedadmin" bayrağı ilə Remote Desktop Connection client (mstsc.exe) işə salır. "/restrictedadmin" bayrağı mstsc.exe'ə ötürülür və RDP sessiyasının Restricted Admin rejimindən istifadə etməklə qurulması lazım olduğu göstərilir.

xFreeRDP

xfreerdp RDP client'i ilə NTLM hash ilə pass-the-hash autentifikasiyasına imkan verən, remote desktop bağlantısı yaratmaq üçün əmr:

xfreerdp  +compression +clipboard /dynamic-resolution +toggle-fullscreen /cert-ignore /bpp:8  /u:<Username> /pth:<NTLMHash> /v:<Hostname | IPAddress>

+compression: RDP əlaqəsi üçün sıxılmanı aktiv edir, hansı ki, şəbəkə bandwith'dən optimal istifadə üçün yaxşı seçimdir.

+clipboard: mübadilə buferinin yönləndirilməsini aktivləşdirərək, local və remote maşınlar arasında mətni kopyalayıb yapışdırmağa imkan verir.

/dynamic-resolution : Remote iş masasının resolution'ı client pəncərəsinin ölçüsünə əsasən dinamik şəkildə tənzimləyir.

+toggle-fullscreen: RDP sessiyası zamanı tam ekran və pəncərəli rejim arasında keçid etməyə imkan verir.

/cert-ignore: SSL/TLS sertifikatı doğrulama xətalarına məhəl qoymur.

/bpp:8 : Rəng dərinliyini hər piksel üçün 8 bitə təyin edir. Bu, RDP sessiyası üçün istənilən rəng dərinliyinə əsasən tənzimlənə bilər.

/u: : RDP bağlantısı üçün istifadəçi adını təyin edir.

/pth:: İstifadəçi parolunun NTLM hashını təyin edir. NTLM hash'i autentifikasiya üçün plaintext parolu əvəzinə istifadə olunur.

/v:<Hostname | IPAddress> : RDP bağlantısının qurulduğu remote maşının host adını və ya IP ünvanını təyin edir.

Restricted Admin rejimi uzaq maşında deaktiv edilibsə, biz psexec və ya winrm kimi başqa alət/protokoldan istifadə edərək hosta qoşula və aşağıdakı registry key'i yaradıb, dəyərini sıfıra təyin edərək, onu aktiv edə bilərik:

"HKLM:\System\CurrentControlSet\Control\Lsa\DisableRestrictedAdmin"