概念验证远程桌面（RDP）会话劫持实用程序

科技 2024-12-31 13:48 广东

SharpRDPHijack

Sharp RDP Hijack 是一个概念验证的 .NET/C# 远程桌面协议 (RDP) 会话劫持实用程序。

背景

RDP 会话劫持是一种后利用技术，用于控制（强制）断开的交互式登录会话。该技术在Mitre ATT&CK T1563.002 - 远程服务会话劫持：RDP 劫持中有描述。

笔记

SharpRDPHijack.cs 在 .NET Framework v.4.8（以及可能的更早版本）下的 Visual Studio 2022 中编译。
TS/RDP 会话查询可能需要根据目标机器的权限。
会话劫持需要提升的（管理员）上下文才能连接到另一个会话。
除非知道目标会话用户的密码，否则需要 NT AUTHORITY\SYSTEM 上下文来控制会话。如果没有提供密码，SharpRDPHijack 将（尝试）冒充 NT AUTHORITY\SYSTEM。
与以前的操作系统版本相比，Windows 2019+ Server 会话劫持表现出有趣的行为。劫持重定向到已激活的 RDP 会话的会话后，Windows 登录屏幕会提示输入用户的密码/凭据。如果重定向到控制台会话，则此重定向成功且无缝。利用 --shadow 选项和 --console 选项尝试通过 RDP 阴影连接到会话。
一些人询问了这个实用程序的功能/必要性，因为您可以使用 tscon.exe 或 Mimikatz TS 执行相同的操作。编写此 POC 的目的是更好地了解 Win32 API 级别（更具体地说是 Wtsapi32）发生的事情，并拥有一个更简单的选项来连接到其他会话（最好使用 C#）。在此实现中，执行繁重工作的两个函数/方法是WTSConnectSession和WTSDisconnectSession。
潜在的优势在于，此实用程序可以逃避针对 tscon.exe + 支持命令使用的特定检测分析。链接资源页面中的防御指南对于解决此技术的滥用（例如，在组策略中超时后注销断开连接的会话）以及实施域管理员登录弹性最佳实践非常有用，以最大限度地减少域暴露，其中非 DA 帐户在 DA 使用的计算机上拥有管理员权限。

用法

[*] Parameters:
[*] A proof-of-concept Remote Desktop (RDP) session hijack utility
    - For session hijacking, this utility must be run in an elevated context to connect to another session
    - If a password is not specified, NT AUTHORITY\SYSTEM is impersonated
    - For session query, admin privileges or "Remote Desktop Users" group membership is required on the target machine

[*] Parameters:
    --tsquery=<host> : Query a host to identify RDP/TS session information (not required for other switches)
    --session=<ID> : Target session identifier
    --password=<User's Password> : Session password if known (otherwise optional - not required for disconnect switch)
    --console : Redirect session to console session instead of current (active) session
    --shadow : Shadow an active session (experimental)
    --disconnect : Disconnect an active (remote) session

[*] Example Usage 1: Impersonate NT AUTHORITY\SYSTEM to hijack session #6 and redirect to the current session
    SharpRDPHijack.exe --session=6

[*] Example Usage 2: Impersonate NT AUTHORITY\SYSTEM to hijack session #2 and redirect to the console session
    SharpRDPHijack.exe --session=2 --console

[*] Example Usage 3: Hijack Remote Desktop session #4 with knowledge of the logged-on user's password
    SharpRDPHijack.exe --session=4 --password=P@ssw0rd

[*] Example Usage 4: Disconnect active session #3
    SharpRDPHijack.exe --session=3 --disconnect

[*] Example Usage 5: Query the local host for RDP/TS session information
    SharpRDPHijack.exe --tsquery=localhost

[*] Example Usage 6: Shadow active session #3
    SharpRDPHijack.exe --session=3 --shadow

[*] Example Usage 7: Shadow inactive session #2 by redirecting the session to the console
    SharpRDPHijack.exe --session=2 --shadow --console

具有防御性考虑的资源

红队实验 | T1076：使用 tscon 劫持 RDP 进行横向移动
https://ired.team/offensive-security/lateral-movement/t1076-rdp-hijacking-for-lateral-movement
Kevin Beaumont | RDP 劫持 - 如何透明地劫持 RDS 和 RemoteApp 会话以在组织内移动
https://doublepulsar.com/rdp-hijacking-how-to-hijack-rds-and-remoteapp-sessions-transparently-to-move-through-an-da2a1e73a5f6

项目地址:

https://github.com/bohops/SharpRDPHijack

感谢您抽出

来阅读本文

点它，分享点赞在看都在这里

Ots安全

持续发展共享方向：威胁情报、漏洞情报、恶意分析、渗透技术（工具）等，不会回复任何私信，感谢关注。

最新文章

伪造的 7-Zip 漏洞代码被追溯到人工智能产生的误解

LDAPNightmare：SafeBreach Labs 发布了 CVE-2024-49113 的第一个概念验证漏洞

已修补但仍然存在漏洞：Windows BitLocker 加密再次被绕过

LdapNightmare 一个 PoC 工具，用于针对 CVE-2024-49112 易受攻击 Windows Server

（反）EDR 概要

BootExecute EDR 绕过

7-Zip 零日漏洞据称已在网上泄露

80 万辆电动汽车及车主的客户数据被曝光

新细节揭示黑客如何劫持 35 个 Google Chrome 扩展程序

概念验证远程桌面（RDP）会话劫持实用程序

利用 AD CS 错误配置，允许从任何子域到整个林的权限升级和持久化

CVE-2024-54819 - I Librarian 服务器端请求伪造

Linux 内核漏洞 CVE-2023-4147：针对权限提升缺陷的 PoC 漏洞已发布

CVE-2024-21182 - Oracle Weblogic Server 漏洞利用 PoC 发布

Krueger 是一种概念验证 (PoC) .NET 后利用工具

黑客发布第二批被盗思科数据

Delinea 协议处理程序 - 通过更新进程执行远程代码（CVE-2024-12908）

Grafana 渗透测试综合指南

通过 X-Forwarded-Host 泄露密码重置令牌

通过追溯签名驱动程序和系统时间操纵绕过 EDR

CVE-2024-50379 Tomcat 漏洞深度分析及 POC（严重性 9.8）

利用 Windows Defender 进行武器化：新攻击绕过 EDR

绕过Elastic EDR进行横向移动

探索 NASA CryptoLib 的 SDLS 实现中的漏洞

利用 WDAC 武器化：粉碎 EDR 的梦想

CVE-2024-56337：Apache Tomcat 修补关键 RCE 漏洞

通过 Discord Bot 运行的 RAT 恶意软件

Lumma Stealer 信息窃取程序的反混淆

仅使用 NTAPI 函数修补 WDigest.dll 即可绕过 Credential Guard

iDRAC 到域管理员

使用 SetWindowsHookEx 的键盘记录器

俄罗斯 APT“秘密暴雪”利用网络犯罪工具发动乌克兰攻击

一个不起眼的 PHP 漏洞如何导致 Craft CMS 出现 RCE

近期水坑攻击案例（第一部分）

8,000 美元漏洞赏金亮点：Opera 浏览器中的 XSS 到 RCE

新的Windows权限提升漏洞！ SSD 咨询 – cldflt 基于堆的溢出 (PE)

近日，国家互联网应急中心（CNCERT）发布一份报告，揭示了两起针对我国大型科技企业的网络攻击事件

麦当劳外卖系统中的漏洞：从一分钱的订单到订单劫持

隐藏有效负载：在图像文件中嵌入Shellcode

Svartalfheim - 使用间接系统调用和返回地址欺骗下载远程有效负载并在内存中执行的第 0 阶段 Shellcode

攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件

从剪贴板到入侵：PowerShell自攻

自动化漏洞利用工程：从理论到实践的旅程

使用 Android 应用检测 ARP 欺骗攻击

俄罗斯招募乌克兰未成年人参与网络行动和侦察

通过 CVE-2024-52875 攻击 Kerio Control：从 CRLF 注入到一键 RCE

通过 JAAS 进行 Databricks JDBC 攻击

CVE-2024-38819：Spring 框架路径遍历 PoC 漏洞已发布

知名开源生物医学工具（InVesalius 3.1）存在远程代码执行漏洞 CVE-2024-42845

通过云端入侵汽车摄像头

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉