Dayu

sCRiPt n00b

pth->mstsc.exe 登录rdp

在内网渗透测试中,获得ntlm hash后,通常使用pass the hash方法使用wmi(135端口),smb(445端口)服务横向移动,同样我们可以pth到mstsc

条件限制

Server需要开启Restricted Admin mode,Client需要支持Restricted Admin mode

所谓Restricted Admin mode,意思就是直接使用当前系统的登录凭据登录,无需口令,也正是由于此特性,才使得我们可以通过pth登录rdp

主要针对Windows Server 2012 R2以后的系统,默认支持Restricted Admin mode

Windows 7 和 Windows Server 2008 R2默认不支持,需要安装补丁2871997、2973351

实现过程

使用mimikatz执行命令如下:

1
2
privilege::debug
sekurlsa::pth /user:administrator /domain:. /ntlm:xxxxxxxxxxxxxxxxxxxxxx "/run:mstsc.exe /restrictedadmin"

执行后弹出远程登录界面,输入地址后登录

10.0.0.180为08系统,默认不支持Restricted Admin mode,会报错

2012系统测试登录成功

参考

Restricted Admin mode 官方说明 https://blogs.technet.microsoft.com/kfalde/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2/

https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Pass-the-Hash-with-Remote-Desktop/

Proudly powered by Hexo and Theme by Hacker
© 2019 大宇