HVV专题——鸡肋的RDP反制

✎ 阅读须知

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！

本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！

更新时间：2023年07月19日09:18:29

为什么叫鸡肋：

鸡肋者，食之无肉，弃之有味。你说不能成吧，但是有成功案例，你说成了吧，要求太高，还要看运气的。

一句话：对方需要开启磁盘共享，不开启，没办法反制！

1. 背景介绍

在很多攻防中，蓝队想要根据一台公网的RDP服务器或者Windows蜜罐服务器，获取攻击者本身的真实pc，可以尝试使用RDP反制来操作，本文以此为背景，进行学习记录。

在这里还有一个专利是关于反制的，总体看下来，貌似和下面的图中的技术差不多：

https://patents.google.com/patent/CN112134868A/zh

2. 环境准备

靶机（VPS）：Windows server2012

192.168.135.133，开启3389

CS 4.5 192.168.22.103

在这里控靶机，顺便反制Windows10机器的

Windows10 192.168.135.167

模拟需要被反制的机器

在这先生成一个木马，控制server2012，模拟已经控制了该机器：

image.png

为了后文看起来比较容易，在这里统称当前Windows server2012为vps。

image.png

此时3389处于开放监听的状态：

image.png

3. RDP反制

此时这个服务器已经被控，维护人员用Windows来3389连接这个vps，首先看下本地win10远程登录的选项：

image.png

在高级选项详细信息这里可以看到，当前的机器中驱动器默认是不选择的：

image.png

我们连接到vps这台机器上看下。

3.1 远程登录的机器主动勾选磁盘分享

在当前vps的网络里面是可以看到当前win10的机器的，叫做tsclient：

image.png

但是我们目前是无法获取到win10机器的任何信息的，因为没有开启任何的真正意义上的共享：

image.png

除非win10上默认勾选了驱动器的分享：

image.png

如果已经勾选的话，此时会多出来一个框提醒你是否连接：

image.png

当前刷新可以看到，此时从vps上已经可以看到win10的共享信息了：

image.png

但是在实际上，默认情况下，没有这么傻的人，不可能默认分享自己的磁盘的，但是这种概率不代表不存在，如果是在内网里面，也可能有概率吧。

如果关闭的话，就打不开了：

image.png

3.2 大部分默认情况下

在大部分情况下，不开启默认分享，就是正常的3389登录之后，如何反制呢？其实在这里通过kill掉复制粘贴的进程，促使对方开启共享（看运气）

此时我们就要借助一个复制粘贴的进程了：

image.png

在这里可以尝试使用剪切板劫持攻击，在使用mstsc进行远程桌面的时候，会启动一个叫rdpclip.exe的进程，该进程的功能是同步服务端与客户端的剪贴板。具体的原理如下图：

image.png

来源：https://www.wangan.com/p/7fygf30ac93e0318

当我们没有远程的时候，我们看下vps的进程表：

image.png

在这里除了正常的进程之外，还有一个我们的beacon.exe进程，等对方3389到这台vps之后看下：

dir \\tsclient\c

image.png

此时对方没有开启c盘共享，看下进程：

image.png

image.png

在这里，我们可以看到里面多了一个rdpclip.exe的进程，这个是管理粘贴和复制的，具体的原理可以参考：

https://www.wangan.com/p/7fygf30ac93e0318在这里不再展开（个人技术有限，展不开）

此时正在远程的人是可以粘贴、复制文件到本机或者远程的机器的：

image.png

如果此时，我们通过cs将该进程直接kill掉：

taskkill /F /PID 2736

image.png

正在远程的人就没法在两个系统间进行粘贴和复制了。

此时如果想粘贴复制的话，就得重启mstsc再试试：

image.png

重启之后，又可以粘贴复制了，但还是没有勾选那个c盘映射。

我们再给kill掉，继续让他重启，直到其怀疑人生，然后就开始搜索：

为什么3389之后的机器，无法复制粘贴？

网上的答案都是基于rdpclip.exe的：

image.png

但是实际上，个人感觉除了乱点之外，很少能够点开磁盘分享的，在这里倒是有一篇师傅写的让人膜拜的文章：

https://mp.weixin.qq.com/s/JWUCj7KepHMsy2Q-MiGO7A

通过多次kill之后，对方开始怀疑人生，开始乱点，然后勾选了，假设勾选之后呢：

image.png

再去连接的话，从cs上看看，就可以看到目录结构了：

image.png

此时就算是目的达到了，在这里就可以翻翻他们的文件啥的了：

image.png

其实从这里，就可以用基础的Windows命令搞事了，比如你可以把cs马直接移动到他的pc上去：

shell copy C:\Users\crow\Desktop\beacon.exe \\tsclient\c\users\admin\desktop\

image.png

image.png

假设这里没有杀软，我们将这个文件还原到桌面上去，我们只能够对这个文件进行复制下载等操作，是无法直接让其在Windows10上运行的：

一句话来说，我们可以浏览文件、复制文件、删除文件，就是不可以运行文件。

、

就算是在3389的桌面上这样运行，也只能够在vps上显示：

image.png

因此，在作者的文章中提到了一个思路，将木马捆绑到一个常用的可执行文件上，然后等对方点击的时候，就上线了。在这里可以重点看下c盘的桌面有啥可执行文件，无论是捆绑还是dll劫持，其实都是可以的。

在这里因为时间问题，直接建设我们将一个caser.exe捆绑了我们的木马程序，等连接的人去点击：

image.png

此时我们的木马已经上线了：

image.png

当然，我们在这里用的是普通的权限，如果想要高权限的话，就要找一些高权限运行的应用了，这个要看运气的。

3.3 mac连接-暂无法攻击

使用mac连接的话，可以用Microsoft Remote Desktop来连接：

image.png

可以看到当前也是无权限的：

image.png

4.总结

总体来说，这种反向攻击非常考察是否开启了共享，如果没有开启，依照目前公开的方法来看的话，是没有办法继续搞下去的。

至于那个剪切板窃取的CVE-2019-0887，一样需要开启磁盘共享，而且这个不稳定，有作者证实在win10上运行失效。