利用断开的域管理员RDP会话提权
💡
原文中文,约5000字,阅读约需12分钟。
📝
内容提要
本文探讨了攻击者如何通过窃取RDP会话令牌实现域内提权,利用计划任务和API创建进程,在关闭远程桌面后成功添加域内用户,并总结了相关代码及实现原理。
🎯
关键要点
- 攻击者可以通过窃取RDP会话令牌实现域内提权。
- 在关闭远程桌面后,攻击者可以利用计划任务和API创建进程。
- 攻击者模拟域管用户登录普通域内机器并关闭远程桌面后进行提权。
- 通过新建计划任务选择域管用户并执行命令来添加域内用户。
- 并非所有域内用户都可以选择,必须是已登录的用户。
- 原理是获取进程的token,利用CreateProcessAsUser API完成进程创建。
- 提供了完整的代码示例,展示如何实现token窃取和用户添加。
- 成功完成token窃取并添加域内用户的实验结果。
➡️
