基于mstsc的高级渗透--墨云科技@落落.pptxVIP

基于mstsc的高级渗透 落落@墨云 议题 mstsc服务端 降级攻击 tscon认证绕过 RDP隧道 mstsc客户端 客户端凭证获取 剪切板劫持 QA 2 降级攻击 RDP 安全层协议 标准RDP   协议文档称为PROTOCOL_RDP SSL  协议文档称为PROTOCOL_SSL CredSSP(NLA + SSL)  协议文档称为PROTOCOL_HYBRID 注：协议文档地址 (/en-us/openspecs/windows_protocols/ms-rdpbcgr/902b090b-9cb3-4efc-92bf-e3) 3 tssc.msc 配置 CredSSP (NLA + SSL) SSL 标准RDP 降级攻击 4 降级攻击 5 00 – 支持Classic RDP 01 – 支持Classic RDP和SSL 03 – 支持Classic RDP、SSL 、CredSSP 0b – 支持Classic RDP、SSL 、CredSSP、PDU 客户端提交的认证请求 降级攻击 6 代理工具：/citronneur/rdpy tscon认证绕过 7 正常切换用户session 在SYSTEM权限，使用tscon绕过账户认证 tscon认证绕过 8 用途： 需要获取目标GUI程序信息，又无法获取到明文密码 跨域用户 绕过安全防护 后门 优势： 通用性 Windows 2016 Windows 2012 R2 Windows 2008 Windows 10 Windows 7 Windows 2019 失败 无日志 9 RDP隧道 动态虚拟通道（Dynamic Virtual Channel, DVC） 动态虚拟通道（DVC）建立流程 RDP连接中存在很多单独的通信通道，通道用来进行数据传输，比如剪贴板共享、驱动器映射、声音回放等。 RDP早期版本仅具有32个静态虚拟通道（SVC），较新版本引入动态虚拟通道（DVC)来解决数量、数据包重建等限制。 注：/en-us/windows/win32/termserv/dynamic-virtual-channels 10 RDP隧道 复用3389端口进行流量转发 11 RDP隧道 注：隧道程序 /earthquake/UniversalDVC Socks代理程序 /securesocketfunneling/ssf regsvr32.exe UDVC-Plugin.x64.dll 客户端注册插件 mstsc登入 12 RDP隧道 UDVC-Server.exe -c -p 9898 -i 服务端启动隧道程序 ssfd.exe -p 9898 服务端开启socks5服务，监听9898端口 13 RDP隧道 ssf.exe -D :9999 -p 31337 –g 解析协议 代理成功 客户端凭证获取 14 C:\Users\[User Profile]\AppData\Roaming\Microsoft\Credentials (Windows Vista 以上) C:\Users\[User Profile]\AppData\Local\Microsoft\Credentials (Windows Vista以上) C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Credentials (Windows 8以上) C:\Documents and Settings\[User Profile]\Application Data\Microsoft\Credentials (Windows XP) C:\Documents and Settings\[User Profile]\Local Settings\Application Data\Microsoft\Credentials (Windows XP) 凭证目录 exchange 的邮件帐户密码（ Outlook存储） Windows Live会话信息 远程桌面 用户/密码信息 Internet Explorer 7.x和8.x： （“基础认证”或“摘要访问认证”） MSN / Windows Messenger 凭证 存储内容： 15 客户端凭证获取 di