通过降级连接劫持RDP明文凭据

Seth是一种用Python和Bash编写的工具,用于通过尝试降级连接以提取明文凭据来进行MitM RDP连接。它的开发目的是为了提高认识,并在笔试,讲习班或会谈的背景下教育正确配置的RDP连接的重要性。作者是Adrian Vollmer(SySS GmbH)。

用法:

1
2
3
4
5
6
$ ./seth.sh <INTERFACE> <ATTACKER IP> <VICTIM IP> <GATEWAY IP|HOST IP> [<COMMAND>]
实例:
./seth.sh 网口 攻击者IP 访问RDP IP 被攻击者IP <命令执行一般不用>
./seth.sh eth0 192.168.3.149 192.168.3.150 192.168.3.138
与上面命令等价(如果所有机器在同一网段可用):
./seth.sh eth0 192.168.3.{149,150,138}

测试:

  • 项目地址:Seth
  • 攻击者机器:kali 192.168.3.149
  • 访问RDP机器:win 7 x64 192.168.3.150
  • 被攻击者机器:win 10 x64 192.168.3.138
  1. 欺骗ARP回复
  2. 启用IPv4流量转发,将流量从受害主机重定向到攻击者机器,然后再转发到目标RDP服务器。
  3. 配置一个iptable规则拒绝SYN数据包,以防止直接的RDP认证。
  4. 捕获目标主机的SYN数据包。
  5. 克隆SSL证书。
    重新配置iptables规则,以将流量从受害工作站路由到目标RDP主机。
  6. 阻止到端口88的流量,以将Kerberos身份验证降级到NTLM。
  • seth 执行完的界面:

  • 访问RDP的机器弹出,尝试通过RDP向目标服务器进行身份验证的用户将会收到以下消息:

  • 成功获取被攻击者RDP的用户名密码:

  • 当以下复选框未选中时被攻击者可以直接登录系统,并且seth可以进行键盘记录。

备注:

  • 当我使用win 10 做为访问攻击目标RDP的机器时,win 10 直接报错 ,攻击机器显示类似“请确认加密方式是不是xxx”,不能抓到密码(也可能是我环境的问题)。
  • 使用win 7 做为访问攻击目标RDP的机器,弹出ssl认证那个,未报错,只是进不去mstsc,重新登录即可(攻击机已经断开监听所以可以正常登录)。
  • 使用win 8 做为访问攻击目标RDP的机器,弹出ssl认证那个,报错(但是不影响,点击重新登录即可登录成功)。
士不可以不弘毅,任重而道远。仁以为己任,不亦重乎?死而后已,不亦远乎?

本文标题:通过降级连接劫持RDP明文凭据

文章作者:yaron

发布时间:2018年05月03日 - 19:58:46

最后更新:2018年08月23日 - 01:17:44

原文链接:https://yaalonsong.github.io/2018/05/03/seth.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。