您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

渗透技巧——利用tscon实现未授权登录

时间:2020-07-30 11:29:35  来源:  作者:

导语:windows系统下,tscon可被用来切换远程桌面的会话。正常情况下,切换会话时需要提供登录密码,但通过特殊的利用方法能够绕过验证,不输入密码实现未授权登录。

0x00 前言

Windows系统下,tscon可被用来切换远程桌面的会话。正常情况下,切换会话时需要提供登录密码,但通过特殊的利用方法能够绕过验证,不输入密码实现未授权登录。

这会造成什么影响呢?这个方法能用在哪种条件下呢?结合利用方法又该如何防御呢?本文将要一一介绍

注:

本文使用tscon未授权登录的思路借鉴于如下链接:

https://medium.com/@networksecurity/rdp-hijacking-how-to-hijack-rds-and-remoteApp-sessions-transparently-to-move-through-an-da2a1e73a5f6

0x01 简介

本文将要介绍以下内容:

·tscon的正常用法

·利用tscon实现未授权登录远程桌面的方法

·应用实例

·防御建议

0x02 tscon的正常用法

对于开启远程桌面服务的Windows系统,当有多个用户登录该系统时,会产生多个会话,如下图

渗透技巧——利用tscon实现未授权登

 

测试系统: Server2012 R2

用户Administrator为本地登录

用户b为通过远程桌面服务(RDP)连接3389端口远程登录

接下来,如果用户Administrator想要切换至用户b的远程桌面,可通过右键-Connect进行连接,接着输入密码即可

如下图

渗透技巧——利用tscon实现未授权登

 


渗透技巧——利用tscon实现未授权登

 

tscon是命令行下使用的工具,可实现相同的功能

首先获取用户对应的sessionid,执行如下命令:

query user

输出如下图

渗透技巧——利用tscon实现未授权登

 

用户b对应的sessionid为2

通过tscon切换至用户b的桌面,命令如下:

tscon 2 /PASSword:test123!

0x03 利用tscon实现未授权登录远程桌面的方法

在System权限执行同样的命令,就能够绕过输入密码的过程,直接切换

从Admin权限切换到System权限的方法在之前的文章《渗透技巧——从Admin权限切换到System权限》有过详细介绍,常用方法有如下三种:

·通过创建服务获得System权限

·利用MSIExec获得System权限

·利用token复制获得System权限

选取其中的一种,获得system权限,接着输入如下命令:

tscon 2

成功登录

0x04 应用实例一

对于Server2012 R2系统,默认情况下,通过mimikatz无法导出明文口令,测试环境下,通过某些方法获得了服务器的一个用户名密码,可以通过远程桌面进行登录

登录后发现后台存在另一用户

由于未导出明文口令,通过常规方法无法切换至另一用户的桌面

这里就可以借助上文提到的方法,先提权至System权限,再切换过去

特别的地方:

当用户通过远程桌面登录后,直接点击关闭断开连接,如下图

渗透技巧——利用tscon实现未授权登

 

此时该会话并没有结束,后台显示Disconnected,如下图

渗透技巧——利用tscon实现未授权登

 

此时,仍能在system权限下通过tscon实现未授权连接

0x05 应用实例二

利用辅助工具管理器后门(放大镜后门原理相同,进程为sethc.exe)绕过系统登录界面

进程: utilman.exe

登录界面可通过点击图标对其调用,如下图

渗透技巧——利用tscon实现未授权登

 

调用辅助工具管理器的快捷键: Win+U

通过注册表劫持实现后门,修改注册表的命令如下:

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options\utilman.exe" /t REG_SZ /v Debugger /d "C:windowssystem32cmd.exe" /f

在登录界面启动辅助工具管理器,弹出cmd.exe,权限为system,如下图

渗透技巧——利用tscon实现未授权登

 

通过tscon可直接切换至目标用户的桌面

补充:

在登录界面状态下,降权方法受限,SelectMyParent和Invoke-TokenManipulation.ps1均报错

使用incognito能够成功降权,但是操作仍受限,如下图

渗透技巧——利用tscon实现未授权登

 

注:

SelectMyParent、Invoke-TokenManipulation.ps1和incognito的使用说明可参考文章《渗透技巧-Token窃取与利用》

无法对目标用户桌面进行截屏,截屏的powershell代码可参考:

https://gallery.technet.microsoft.com/scriptcenter/eeff544a-f690-4f6b-a586-11eea6fc5eb8

受限的原因:

登录界面下,虽然是system权限,但是此时的进程均是winlogon的子进程

如下图

渗透技巧——利用tscon实现未授权登

 

绕过思路:

利用WMI做中转,通过WMI启动进程,默认父进程为svchost.exe->WmiPrvSE.exe

命令如下:

wmic process call create commandline = "powershell -ep bypass -f c:testsystem4.ps1"

system4.ps1的内容来自于Invoke-TokenManipulation.ps1,以用户win-eq8jfsr081db的权限执行脚本,具体参数为:

Invoke-TokenManipulation -CreateProcess "c:testtask.bat" -Username "in-eq8jfsr081db"

task.bat的功能为输出环境变量到task.txt中,具体参数为:

set >>c:testtask.txt

执行如下图

渗透技巧——利用tscon实现未授权登

 

查看task.txt的内容,判断环境变量,成功降权,如下图

渗透技巧——利用tscon实现未授权登

 

通过这种方式,可以分别降权至High和Medium权限,如下图

渗透技巧——利用tscon实现未授权登

 

0x06 防御建议

建议用户使用注销用户的方式断开远程桌面,注销后,无法通过tscon获得桌面会话

监控系统用户的登录日志,攻击者需要先远程登录系统后才能做进一步利用:未授权切换桌面会话

对于Windows系统,虽然新版本(包括server 2012等)无法在远程登录界面中调用放大镜和辅助工具管理器,但需要注意攻击者如果获得了系统的物理访问权限,能够利用放大镜和辅助工具管理器后门实现未授权登录

0x07 小结

本文介绍了利用tscon实现未授权登录远程桌面的方法,站在攻击者的角度,分析利用思路,最后站在防御的角度,结合攻击方法,给出防御建议



Tags:   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
说到远程控制,首先你会想到的是什么?是TeamViewer 还是向日葵?抑或是QQ远程还是anydesk?对,就在不久前,我们熟知的都是以上的产品,但是只2020年开始,一款新的远控产品ToDesk进入到我...【详细内容】
2021-12-27  Tags:   点击:(3)  评论:(0)  加入收藏
就在今天,腾讯方面宣布将在2022年1月31日下架企业QQ和营销QQ,其实这一消息的降临并不让笔者意外,因为早在今年的10月28日20点之后,企业QQ和营销QQ就被停止了续费服务。相信很多...【详细内容】
2021-12-27  Tags:   点击:(4)  评论:(0)  加入收藏
一、前言有朋友问:怎么才能让Windows电脑与iPhone方便的交换文件,我的解决方案是:利用Documents By Readdle 来完成Windows 11 与 iPhone / iPad 互传文件。苹果电脑与手机间通...【详细内容】
2021-12-27  Tags:   点击:(2)  评论:(0)  加入收藏
果粉之家,专业苹果手机技术研究十年!您身边的苹果专家~近日,网上突然出现一则 iPhone 信号问题只需10块钱就能解决的传言,引起了小编(果粉之家)的特别关注。而根据网友表示,手机只...【详细内容】
2021-12-27  Tags:   点击:(2)  评论:(0)  加入收藏
这是很久以前的一则数据,我在iOS平台开发了“先知 - 优质生活”App,本想依靠封闭式环境,广告少体验不错等优点。会有一定的下载量,没想到开发完成后,就被App store埋藏起来了。个...【详细内容】
2021-12-27  Tags:   点击:(3)  评论:(0)  加入收藏
个人所得税递延纳税报告【业务概述】自然人符合规定条件的,可以申请个人所得税递延纳税,主要包括以下情形:1.非上市公司股权激励个人所得税递延纳税备案非上市公司授予本公司员...【详细内容】
2021-12-27  Tags:   点击:(3)  评论:(0)  加入收藏
Python 是一个很棒的语言。它是世界上发展最快的编程语言之一。它一次又一次地证明了在开发人员职位中和跨行业的数据科学职位中的实用性。整个 Python 及其库的生态系统使...【详细内容】
2021-12-27  Tags:   点击:(1)  评论:(0)  加入收藏
20年前,等离子电视凭借过硬的技术和显示效果,深受大众喜爱,人们也常说“外行买液晶,内行选等离子”,可见等离子电视在人们心中的地位不一般。现如今,大数据告诉我们,技术过硬不代表...【详细内容】
2021-12-27  Tags:   点击:(2)  评论:(0)  加入收藏
  1、明确产品的需求分析+功能  这是最基本的也是第一步,我们要明确自己或者客户真的想要开发一款app应用,其次就要了解到底要开发什么功能什么类别和种类的app应用。所...【详细内容】
2021-12-27  Tags:   点击:(1)  评论:(0)  加入收藏
菜单驱动程序简介菜单驱动程序是通过显示选项列表从用户那里获取输入并允许用户从选项列表中选择输入的程序。菜单驱动程序的一个简单示例是 ATM(自动取款机)。在交易的情况下...【详细内容】
2021-12-27  Tags:   点击:(4)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(19)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(18)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(631)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条