利用tscon实现远程桌面未授权登录的渗透技巧——

0x00 前言

在Windows系统下，tscon可以用来切换远程桌面的会话。一般情况下，切换会话需要提供登录密码，但可以通过特殊利用方式绕过认证，实现不输入密码的非授权登录。

这会有什么影响？这种方法在什么条件下可以使用？如何防御组合法？本文将一一介绍。

注：

本文中使用tscon未授权登录的想法借用了以下链接：

https://medium . com/@ network security/RDP-jacking-how-to-jacking-rds-and-remote app-sessions-transparently-to-move-through-an-da 2 a 1e 73 a5f 6

0x01 简介

本文将介绍以下内容：

tscon的正常使用

一种通过tscon实现远程桌面非授权登录的方法

应用示例

辩护建议

0x02 tscon的正常用法

对于打开了远程桌面服务的Windows系统，当多个用户登录系统时，将会生成多个会话，如下图所示

测试系统：Server2012 R2

管理员在本地登录。

用户b通过远程桌面服务(RDP)连接到端口3389远程登录。

接下来，如果用户管理员想切换到用户B的远程桌面，可以通过右键-连接的方式进行连接，然后输入密码。

如下图

Tscon是命令行下使用的工具，可以实现同样的功能。

首先，获取用户对应的sessionid，并执行以下命令：

查询用户

输出下图

用户b对应的Sessionid为2。

通过tscon切换到用户B的桌面，命令如下：

tscon 2 /PASSWORD:test123！

0x03 利用tscon实现未授权登录远程桌面的方法

如果在系统权限内执行同样的命令，可以绕过密码输入过程，直接切换。

从Admin权限切换到System权限的方法在之前的文章《渗透技巧——从Admin权限切换到System权限》中有详细描述。常见的方法有以下三种：

通过创建服务获得系统权限。

使用MSIExec获取系统权限。

使用令牌复制获取系统权限

选择其中一个，获得系统权限，然后输入以下命令：

tscon 2

登录成功。

0x04 应用实例一

对于Server2012 R2系统，默认情况下，明文密码不能通过mimikatz导出。在测试环境中，通过一些方法获得服务器的用户名密码，用户可以通过远程桌面登录。

登录后发现后台还有一个用户。

您不能通过常规方法切换到另一个用户的桌面，因为明文密码尚未导出。

这里借助上面说的方法，可以先把权限提升到系统权限，再切换到过去。

特别的地方：

当用户通过远程桌面登录时，直接点击关闭断开连接，如下图所示。

此时会话尚未结束，后台显示断开，如下图所示。

此时，在system的授权下，仍然可以通过tscon实现未授权连接。

0x05 应用实例二

利用辅助工具管理器的后门(放大镜后门原理相同，流程为sethc.exe)绕过系统登录界面。

流程：utilman.exe

点击图标可以调用登录界面，如下图所示。

调用辅助功能管理器的快捷键：Win U

后门是通过注册表劫持实现的，修改注册表的命令如下：

REG ADD ' HKLM \软件\ Microsoft \ Windows NT \当前版本\映像文件执行选项\utilman.exe' /t REG_SZ /v调试器/d ' C:\ Windows \ system32 \ cmd . exe '/f

在登录界面启动辅助工具管理器，在系统权限下，会弹出cmd.exe，如下图所示

Tscon可以直接切换到目标用户的桌面。

补充：

在登录界面状态下，降功率的方法有限，SelectMyParent和Invoke-TokenManipulation.ps1都报错。

隐姓埋名可以成功降低异能，但是操作还是有限制的，如下图。

注：

关于SelectMyParent、Invoke-TokenManipulation.ps1和incognito的使用说明，请参考文章《渗透技巧-Token窃取与利用》。

无法截屏目标用户的桌面。请参考截屏的powershell代码：

https://gallery . TechNet . Microsoft . com/script center/eeff 544 a-f690-4f6b-a586-11 ea 6 fc 5 EB 8

受限的原因：

在登录界面下，虽然是系统权限，但此时的进程都是winlogon的子进程。

fo

将WMI作为中转地，流程通过WMI启动，默认父流程是svchost.exe-WmiPrvSE.exe。

该命令如下所示：

wmic进程调用创建命令行=' powershell-EP bypass-f c:\ test \ system 4 . PS1 '

system4.ps1的内容来自Invoke-TokenManipulation.ps1，脚本在用户win-eq8jfsr081d\b的权限下执行，具体参数如下：

invoke-token manipulation-CreateProcess ' c:\ test \ task . bat '-Username ' in-eq 8 jfsr 081d \ b '

task.bat的功能是将环境变量输出到task.txt，具体参数有：

set c:\test\task.txt

执行下图

检查task.txt的内容，判断环境变量，成功降低权重，如下图所示

这样就可以将权限降为高、中权限，如下图所示。

0x06 防御建议

建议用户通过注销来断开远程桌面。注销后，无法通过tscon获得桌面会话。

监控系统用户的登录日志。攻击者需要远程登录系统，然后才能进一步利用它：未经授权的桌面会话切换。

对于Windows系统，需要注意的是，如果攻击者获得了系统的访问权限，就可以利用放大镜和助手工具管理器的后门实现非授权登录。

0x07 小结

介绍了tscon非法登录远程桌面的方法，从攻击者的角度分析了利用这种方法的思路，最后结合攻击手段从防御的角度给出了一些防御建议。

留下回复