一次渗透实战记录

littlebird

​
0x00 前言
前几天在看某个安全会议的PPT，发现里面提了一个漏洞我不怎么了解，但是很有趣，于是就打算通过shodan复现一下。这个漏洞需要对方是windows主机且开启了3389，结果试了一波，没有一台成功，估计是漏洞比较老吧(14年的)。

好不容易找到一台开了3389的目标，结果没复现成功，但是通过思考分析还是打开了通往主机的大门。

0x01 实战过程记录
首先我原本复现的漏洞，是早些时候网络上的黑阔用来日另外一批黑阔的肉鸡控制器所用的，就是所谓的黑吃黑。

我找了一台开了3389的目标机器，通过网络上公布的漏洞细节进行复现，结果发现不行，应该是修复了，或者是我的姿势不对。

​

编辑

但是我并没有打算放弃，我想：既然这服务器是用来管理肉鸡的，黑客们必定在上面留了许多后门，于是我就想到了shift后门，于是，我就按了5下shift键，然后cmd就奇迹般的出现了，运气真好。

​

编辑

通过shift调用出的cmd是system权限，我们来查看一下上面有哪些用户，并添加账户，命令执行后会返回一串意大利文，google翻译一下

​

编辑

​

编辑

​

编辑

当然，如果你添加账户的密码设置的太简单，会显示命令执行失败。当我们添加完账户后，将账户添加进administrators组。

查看是否我们成功将用户添加进administrators管理组

​

编辑

尝试登录，会发现出现如下错误

​

编辑

​

编辑

我想可能是我们没有将用户添加到远程桌面管理组里，使用net localgroup看一下总共有哪些用户组，因为这台主机的语言使用的是意大利语言，所以远程桌面管理组可能不是我们平常所见到的Remote Desktop Users。

​

编辑

大概意思就是”发生系统错误 1312。指定的登录会话不存在。可能已被终止。没关系，既然net localgroup命令用不了，我们可以直接查看一下administrator所在的用户组，因为administrator允许远程登录。

我们使用net user administrator命令来查看administrator所在的用户组。

​

编辑

使用net localgroup “Utenti desktop remoto” 用户名 /add命令即可将用户添加到远程桌面管理组，之后就能顺利进入主机。

​

编辑

0x02 另类思路
其实本来到这里已经结束了。但是在没拿下之前，我让表哥试试能不能拿下，后来我们几乎在同一时间拿下。但是，表哥是通过远程桌面会话劫持（RDP hijacking ）来进入主机的。

我去，这是啥骚操作，赶紧google一下，发现这篇文章写的不错RDP hijacking（有墙）。大家都知道，在windows中如果你知道另一个已登录用户的密码，就可以通过认证后切换成该用户。

• 
  

https://doublepulsar.com/rdp-hijacking-how-to-hijack-rds-and-remoteapp-sessions-transparently-to-move-through-an-da2a1e73a5f6

​

编辑

test成功切换成administrator用户

​

编辑

劫持方法一：创建服务

​

编辑

实际测试截图

​

编辑

​

编辑

劫持方法二：直接利用query和tscon命令
来看一下query命令用法

​

编辑

​

编辑

​

编辑

​

编辑

tscon命令用法

​

编辑

下面结合query和tscon命令达到会话劫持目的，query user查询所有已登录的用户会话信息，tscon 会话ID切换到目标会话状态

​

编辑

回车之后可直接切换成目标用户登录系统。

0x03 总结
这次的的渗透经历，总的来说还是学到不少，突破点就是利用前人种的马。所以说思路很重要，还是要多多看其他人的文章。另外，英语还是挺重要的，有的东西可以多看看外文。
​