3步以內利用中間人MitM攻擊從RDP連接中獲得密碼

PS：本文僅做技術討論，嚴禁用於非法用途

今天和大家分享個小技術，簡單幾步通過執行MitM攻擊同時從RDP連接中提取明文憑據。我這裡使用的測試環境是Linux（1台）、Windows（2台），此環境僅供大家參考。

在工作的項目中，經常會有用戶問及使用遠程桌面是否安全，對此我們更多想到的是關於RDP 3389的各種爆破或是0day漏洞進行批量處理，但爆破畢竟也存在一定的運氣成分，萬一手潮就不好說了。

之前大家用的比較多的可能是利用Cain&Abel進行中間人攻擊，操作上手也比較簡單，在windows環境下的圖形界面進行操作，可惜只能嗅探不能執行cmd等擴展功能。

Seth是一個用Python和Bash編寫的工具，通過嘗試降級連接用以提取明文憑證來實現MitM RDP連接。它的出現可以讓更多人提高安全認識，也可以在測試、安全研討會或會談的背景下教育大家正確配置RDP連接的重要性。

下面先去github下載工具包。

使用環境：

¨ python3

¨ tcpdump

¨ arpspoof

¨ arpspoof

¨ openssl

通過幫助命令，可以查看命令語法和使用格式，由於時間原因具體參數介紹略過。

滲透測試具體用法：

如果在同一網段，RDP主機與受害計算機位於同一子網上不需要加網關地址，否則IP網關地址必須、必須寫上。

是最後一個參數,是可選的。它可以包含通過按鍵事件注入模擬WIN + R在RDP主機上執行的命令。

按鍵注入取決於受害者使用的鍵盤布局，目前它僅在英國美國版OS上可靠。建議通過使用避免使用特殊字元powershell -enc，其

中STRING是您的UTF-16le和Base64編碼命令。但是，calc應用非常普遍，我們以後滲透測試也會用到它並完成測試。

用shell腳本執行ARP欺騙以獲得Man-in-the-Middle位置並重定向流量，使其通過RDP代理運行，代理可以單獨調用。

也可以將Seth與Responder結合使用，這個非常有用。使用Responder獲得Man-in-the-Middle位置並同時運行Seth。運行seth.py -h以獲取更多信息。

具體滲透測試過程如下：

查看滲透測試Attack主機，已經配置好並對介面和相關主機進行監聽，如果成功，將執行彈出calc計算器程序。

環境搭建好，我們進行滲透測試，在遠程PC客戶端進行RDP連接操作。

提示彈出用戶（administrator）和密碼（Sec@123）進行認證操作。

彈出警告提示框，我們這裡選擇Yes繼續。

下面顯示已經成功進行RDP操作，並且連接成功，且彈出計算器程序。

我們進一步測試，在遠程桌面伺服器運行cmd命令後，執行了ipconfig查看本機網路的命令操作。

下面顯示成功的截獲PC客戶端RDP的連接信息，並克隆最初始目標主機的x509證書。

遠程目標主機的用戶名和密碼信息已經獲取，同時記錄的用戶鍵盤的操作命令。

就用戶使用RDP服務的安全問題，常見安全加固方法有4個方面：可以修改埠；受信的SSL證書；連接時僅使用網路級別的身份驗證或使用防火牆限制源地址等。

好了，今天分享到這裡，有興趣的兄弟可以留言討論哈，還有哪些更好的防禦措施。

*本文原創作者：2cat，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！