HVV专题——鸡肋的RDP反制

ivi

HVV专题——鸡肋的RDP反制

合天网安实验室2023-08-1717:24 发表于湖南

以下文章来源于乌鸦安全 ，作者crow

乌鸦安全.

专注于网络安全技术分享，红蓝对抗技术、免杀、反制、内网漫游、安全研究。

为什么叫鸡肋：

鸡肋者，食之无肉，弃之有味。你说不能成吧，但是有成功案例，你说成了吧，要求太高，还要看运气的。

一句话：对方需要开启磁盘共享，不开启，没办法反制！

1. 背景介绍

在很多攻防中，蓝队想要根据一台公网的RDP服务器或者Windows蜜罐服务器，获取攻击者本身的真实pc，可以尝试使用RDP反制来操作，本文以此为背景，进行学习记录。

在这里还有一个专利是关于反制的，总体看下来，貌似和下面的图中的技术差不多：

https://patents.google.com/patent/CN112134868A/zh

2. 环境准备

• 靶机（VPS）：Windows server2012
  

192.168.135.133，开启3389

• CS 4.5  192.168.22.103
  

在这里控靶机，顺便反制Windows10机器的

• Windows10 192.168.135.167
  

模拟需要被反制的机器

在这先生成一个木马，控制server2012，模拟已经控制了该机器：

为了后文看起来比较容易，在这里统称当前Windows server2012为vps。

此时3389处于开放监听的状态：

3. RDP反制

此时这个服务器已经被控，维护人员用Windows来3389连接这个vps，首先看下本地win10远程登录的选项：

在高级选项详细信息这里可以看到，当前的机器中驱动器默认是不选择的：

我们连接到vps这台机器上看下。

3.1 远程登录的机器主动勾选磁盘分享

在当前vps的网络里面是可以看到当前win10的机器的，叫做tsclient：

但是我们目前是无法获取到win10机器的任何信息的，因为没有开启任何的真正意义上的共享：

除非win10上默认勾选了驱动器的分享：

如果已经勾选的话，此时会多出来一个框提醒你是否连接：

当前刷新可以看到，此时从vps上已经可以看到win10的共享信息了：

但是在实际上，默认情况下，没有这么傻的人，不可能默认分享自己的磁盘的，但是这种概率不代表不存在，如果是在内网里面，也可能有概率吧。

如果关闭的话，就打不开了：

3.2 大部分默认情况下

在大部分情况下，不开启默认分享，就是正常的3389登录之后，如何反制呢？其实在这里通过kill掉复制粘贴的进程，促使对方开启共享（看运气）

此时我们就要借助一个复制粘贴的进程了：

在这里可以尝试使用剪切板劫持攻击，在使用mstsc进行远程桌面的时候，会启动一个叫rdpclip.exe的进程，该进程的功能是同步服务端与客户端的剪贴板。具体的原理如下图：

来源：https://www.wangan.com/p/7fygf30ac93e0318

当我们没有远程的时候，我们看下vps的进程表：

在这里除了正常的进程之外，还有一个我们的beacon.exe进程，等对方3389到这台vps之后看下：

dir \\tsclient\c

此时对方没有开启c盘共享，看下进程：

在这里，我们可以看到里面多了一个rdpclip.exe的进程，这个是管理粘贴和复制的，具体的原理可以参考：

https://www.wangan.com/p/7fygf30ac93e0318在这里不再展开（个人技术有限，展不开）

此时正在远程的人是可以粘贴、复制文件到本机或者远程的机器的：

如果此时，我们通过cs将该进程直接kill掉：

taskkill /F /PID 2736

正在远程的人就没法在两个系统间进行粘贴和复制了。

此时如果想粘贴复制的话，就得重启mstsc再试试：

重启之后，又可以粘贴复制了，但还是没有勾选那个c盘映射。

我们再给kill掉，继续让他重启，直到其怀疑人生，然后就开始搜索：

为什么3389之后的机器，无法复制粘贴？

网上的答案都是基于rdpclip.exe的：

但是实际上，个人感觉除了乱点之外，很少能够点开磁盘分享的，在这里倒是有一篇师傅写的让人膜拜的文章：

https://mp.weixin.qq.com/s/JWUCj7KepHMsy2Q-MiGO7A

通过多次kill之后，对方开始怀疑人生，开始乱点，然后勾选了，假设勾选之后呢：

再去连接的话，从cs上看看，就可以看到目录结构了：

此时就算是目的达到了，在这里就可以翻翻他们的文件啥的了：

其实从这里，就可以用基础的Windows命令搞事了，比如你可以把cs马直接移动到他的pc上去：

shell copy C:\Users\crow\Desktop\beacon.exe \\tsclient\c\users\admin\desktop\

假设这里没有杀软，我们将这个文件还原到桌面上去，我们只能够对这个文件进行复制下载等操作，是无法直接让其在Windows10上运行的：

一句话来说，我们可以浏览文件、复制文件、删除文件，就是不可以运行文件。

就算是在3389的桌面上这样运行，也只能够在vps上显示：

因此，在作者的文章中提到了一个思路，将木马捆绑到一个常用的可执行文件上，然后等对方点击的时候，就上线了。在这里可以重点看下c盘的桌面有啥可执行文件，无论是捆绑还是dll劫持，其实都是可以的。

在这里因为时间问题，直接建设我们将一个caser.exe捆绑了我们的木马程序，等连接的人去点击：

此时我们的木马已经上线了：

当然，我们在这里用的是普通的权限，如果想要高权限的话，就要找一些高权限运行的应用了，这个要看运气的。

3.3 mac连接-暂无法攻击

使用mac连接的话，可以用Microsoft Remote Desktop来连接：

可以看到当前也是无权限的：

4.总结

总体来说，这种反向攻击非常考察是否开启了共享，如果没有开启，依照目前公开的方法来看的话，是没有办法继续搞下去的。

至于那个剪切板窃取的CVE-2019-0887，一样需要开启磁盘共享，而且这个不稳定，有作者证实在win10上运行失效。

在这里非常非常非常看运气，当然，技术也是很重要。