渗透技能——通过哈希与远程桌面(受限管理模式)

0x00 前言

在渗透测试中，如果获得了用户的NTLM哈希，我们可以尝试使用传递哈希的方法登录WMI和SMB服务，这也可以用于远程桌面服务。

本文将介绍当受限管理模式打开时，使用Pass hash登录到远程桌面的方法。

对于传递散列的利用，请参考前一篇文章：

《域渗透——Pass The Hash的实现》

0x01 简介

本文将介绍以下内容：

受限管理模式简介

远程桌面的pass hash实现方法(受限管理模式)

0x02 Restricted Admin mode简介

官方描述：

https://blogs . TechNet . Microsoft . com/kfalde/2013/08/14/restricted-admin-mode-for-RDP-in-windows-8-1-2012-R2/

本部分参考官方说明，补充个人理解。如有错误，请指正。

受限管理模式，字面意思是受限管理模式，主要功能是防止凭据在目标系统中暴露。

适用系统

默认情况下，Windows 8.1和Windows Server 2012 R2支持此功能。

默认情况下，不支持Windows 7和Windows Server 2008 R2。需要安装修补程序2871997和2973351。

注：

相关信息可参考：

https://docs . Microsoft . com/en-us/security-updates/security advisories/2016/2871997

https://support . Microsoft . com/en-us/help/2973351/Microsoft-security-advisory-registry-update-to-improve-credentials-pro

开启Restricted Admin mode的方法

方法1: 安装补丁3126593

实现原理与下面的方法2(修改注册表)相同

参考链接：

https://support . Microsoft . com/en-us/help/2973351/Microsoft-security-advisory-registry-update-to-improve-credentials-pro

方法2： 修改注册表

位置：

HKEY _ LOCAL _ MACHINE \ System \ current Control set \ Control \ Lsa

创建一个新的DWORD键值DisableRestrictedAdmin，值为0，表示打开；该值为1，表示关闭。

相应命令行打开的命令如下：

REG ADD ' HKLM \系统\当前控制集\控制\ Lsa '/v DisableRestrictedAdmin/t REG _ DWORD/d 00000000/f

使用Restricted Admin mode

客户端命令行：

mstsc.exe/受限dmin

如果当前系统不支持受限管理模式，执行后会弹出远程桌面的参数描述，如下图所示。

如果当前系统支持受限管理模式，执行后会弹出远程桌面的登录界面，如下图所示

值得注意的是，受限管理模式使用的是当前的Windows登录凭据，因此无需输入密码即可直接登录。

注：

当服务器打开时，客户端还需要支持受限管理模式。

一些数据提到，通过远程桌面哈希(受限管理模式)适用于Windows 8.1和Windows Server 2012 R2。这个结论并不确切。准确地说，Windows 7和Windows Server 2008 R2打了补丁后同样适用。

0x03 Pass the Hash with Remote Desktop(Restricted Admin mode)的实现方法

测试环境：

服务器：

操作系统：服务器2012 R2

IP: 192.168.62.136

计算机名：remoteserver

用户名：管理员

NTLM哈希：d 25 ECD 13 FDD bb 542 D2 e 16 da 4 F9 e 0333d

打开受限管理模式。

客户：

支持受限管理模式

方法1： mimikatz

实际上，是绕过哈希。

需要管理员权限。

Mimikatz订购了以下产品：

权限：调试

seku rlsa:PTH/user:administrator/domain:remote server/NTLM:d 25 ECD 13 FDD bb 542 D2 e 16 da 4 F9 e 0333d '/run:mstsc . exe/restricted admin '

执行后，弹出远程登录界面，如下图所示

选择，成功实现远程登录。

方法2： FreeRDP

下载地址：

https://github.com/FreeRDP

参考文章：

https://labs . portcullis . co . uk/blog/new-restricted-admin-feature-of-RDP-8-1-allows-pass-the-hash/

https://www . kali . org/渗透-测试/通过-哈希-远程-桌面/

FreeRDP实现远程桌面协议并支持传入哈希。

支持Linux，Windows，MAC，下载地址如下：

https://github.com/FreeRDP/FreeRDP/wiki/PreBuilds

实际测试：

(1)在1)linux下明文远程登录的参数：

xfreerdp/u:administrator/p:test 123！/v:192 . 168 . 62 . 136/cert-忽略

测试成功。

(2)在2)linux下使用hash进行远程登录的参数：

xfreerdp/u:administrator/PTH:d 25 ECD 13 FDD bb 542 D2 e 16 da 4 F9 e 0333d/v:192 . 168 . 62 . 136/cert-ignore

测试失败。

Windows也是同样的测试结果。

猜测FreeRDP去掉了这个功能，其他也有同样的测试结果。链接如下：

https://nullsec.us/rdp-sessions-with-xfreerdp-using-pth/

https://twitter.com/egyp7/status/776053410231558148

解决方法：

带pth功能的老版本FreeRDP下载地址：

https://labs.portcullis.co.uk/download/FreeRDP-pth.tar.gz

它需要重新编译并支持pth参数。

0x04 防御检测

受限管理模式最初是为了提高系统的安全性，但是它支持使用传递散列。

所以在防御方面，防御使用Pass Hash是有好处的，开放受限Admin模式有助于提高系统的安全性。

请参考位于以下地址的Microsoft官方文档：

http://www.microsoft.com/en-us/download/details.aspx?id=36036

0x05 小结

介绍了在特定条件下(服务器需要开启受限管理模式，客户端需要支持受限管理模式)与远程桌面传递hash的方法，并对受限管理模式的关键部分进行了说明。

用远程桌面传递散列的一般方法将在下一篇文章中介绍。

留下回复