3389-Pentesting RDP
Remote Desktop Protocol (RDP) Microsoft tərəfindən hazırlanmış, istifadəçiyə şəbəkə bağlantısı vasitəsilə başqa bir kompüterə qoşulmaq üçün qrafik interfeys təqdim edən protokoldur. RDP üçün default port nömrəsi 3389-dur.
Mövcud şifrələmə,Dos zəifliyi və NTLM (New Technology Lan Management) Windows haqqında məlumat əldə etmək üçün nmap skripti:
Hydra və ncrack ilə brute force hücumu:
Əldə edilən username-password/hash ilə əlaqə
rdesktop və xfreerdp alətləri adətən Linux terminalından uzaq Windows maşınına qoşulmaq üçün istifadə olunur.
Yuxarıda verilən son əmrdə “Pass the hash” metodundan istifadə olunur. “Pass the hash” təcavüzkarın sistemə autentifikasiya etmək üçün istifadəçinin parolunun heşindən (faktiki parol əvəzinə) istifadə etdiyi üsuldur. Bu hücumlardan qorunmaq üçün çox faktorlu autentifikasiyadan (MFA) istifadə etmək vacibdir.
Sessiya oğurlanması
Sistem icazələri ilə sessiya sahibinin parolunu bilmədən istənilən açıq RDP sessiyasına daxil olmaq mümkündür.Bunun üçün açıq sessiyalar haqqında məlumat toplamalıyıq. Aşağıdakı “query user”dən istifadə edərək öyrənə bilərik. Bu əmr Windows-da local və ya uzaq kompüterdə istifadəçi seansları haqqında məlumatı göstərmək üçün istifadə olunur.
Daha sonra istədiyimiz sessiyaya qoşulmaq üçün “tscon” al’ətindən istifadə edə bilərik.Tscon əmri Windows-da Remote Desktop Session Host (RDSH) serverində sessiyaya qoşulmaq üçün istifadə edilir. /dest parametri qoşulmaq istədiyiniz təyinat seansını təyin etmək üçün, <ID> isə sessiya ID-sini təyin etmək üçün istifadə olunur.
Amma aktiv RDP sessiyasına daxil olduğumuz zaman digər istifadəçinin sessiyadan kənarlaşdırıldığını nəzərə almalıyıq.
Mimikatz
Sessiya oğurlanması mimikatz ilə də həyata keçirilə bilər.Bunun üçün aşağıdakı əmrlərdən istifadə olunur:
“ts::sessions” əmri aktiv sessiyalar haqqında sessiya identifikatorları, istifadəçi adları və sessiya vəziyyətləri kimi məlumatlar qaytarır.
“ts::remote /id:1” əmri isə müəyyən bir seansda uzaqdan əməliyyat yerinə yetirərək, ID 1 sessiyasına qoşulmağı hədəfləyir.
Shadow Hücumu
Windows-da kölgələmə(shadowing): Microsoft Windows-un "Uzaq Masaüstü Xidmətləri (RDS)" adlı xidmətləri var və bu xidmətlərə "Remote Desktop Shadowing" kimi tanınan funksiya daxildir. Bu xüsusiyyət səlahiyyətli istifadəçiyə problemlərin aradan qaldırılması və yardım məqsədləri üçün başqa istifadəçinin iş masası sessiyasına baxmaq və nəzarət etmək imkanı verir. "Shadow hücumu" bu texnologiyanın istismarı ilə həyata keçirilir.
Bu hücumu həyata keçirmək üçün Powershell-də yaradılmış, ilk növbədə Microsoft Windows kompüterlərində Shadow hücumunu avtomatlaşdırmaq üçün nəzərdə tutulmuş AutoRDPwn post-explotation framework’dən istifadı olunur. Bu boşluq (hansı ki, Microsoft tərəfindən bir xidmət kimi siyahıya alınmışdır) hücumçuya qurbanın razılığı olmadan onun iş masasına baxmağa və hətta onu idarə etməyə imkan verir.
https://github.com/JoelGMSec/AutoRDPwn
Bu proqram local, uzaqdan və ya komandalar arasında pivot üçün istifadə edilə bilər.
Local execution üçün əmr:
‘-ep bypass’ parametri skript execution policy’i(icra siyasəti) ‘bypass’ təyin edir.Execution Policy "bypass" olaraq təyin edildikdə, PowerShell heç bir məhdudiyyət olmadan skriptlərin icrasına imkan verir.
Remote execution üçün əmr:
Last updated