3 ‐ Enumeración de RDP - tusaa/Seguridad_RDP GitHub Wiki

Enumeración de RDP

Hacking con Buscadores

Gracias a buscadores Google, Bing, o Shodan es posible encontrar servidores RDP que podrían ser vulnerables. Para ello nos aprovechamos de una funcionalidad de la herramienta nativa de escritorio remoto de Windows. Con el cliente nativo, es posible crear ficheros .RDP que guarden la configuración de una conexión de escritorio remoto. Estos ficheros son archivos de texto que pueden guardar información de interés para un atacante; direcciones IP, puertos, usuarios y contraseñas. En algunos casos también la versión del sistema operativo y las aplicaciones publicadas por RDP.

En la búsqueda con Google utilizaremos el parámetro ext para indicar que buscamos ficheros con extensión .RDP y incluiremos algunas de las palabras que aparecen en el contenido de los ficheros .rdp, como por ejemplo "full address" (para indicar la dirección del servidor) "username" o "password"

image

image

Bibliografía; García García, C., Martín, V., & González, P. (2021). Hacking Windows : ataques a sistemas y redes Microsoft (2a ed. ampl. y act.). 0xWord.

Enumeración con nmap

Búsqueda de servidores con el servicio RDP a la escucha (en el puerto por defecto 3389);

nmap -A -Pn -p 3389 192.168.0.0/24

Explicación de estos parámetros de nmap:

  • -A = detección de sistema operativo y versión.
  • -Pn = No comprobar si el equipo está vivo mediante ping
  • -p 3389 = consultar el puerto 3389

Detección de RDP en puertos no estándar

En este artículo https://blog.syselement.com/ine/courses/ejpt/hostnetwork-penetration-testing/1-system-attack/windows-attacks/rdp se indica una de las posibles técnicas para encontrar el servicio RDP en puertos no estándar.

Al lanzar nmap sobre la víctima no se encuentra abierto el puerto 3389, sin embargo, hay otro puerto abierto que nmap detecta con ssl;

spaces_lhjuckuLbvBn36EoFL7P_uploads_git-blob-dc738ba9f088aaa545c40c7ef80da8c5e8edcb75_image-20230314205710077 Imagen; resultado de la ejecución de nmap. Fuente; https://blog.syselement.com/ine/courses/ejpt/hostnetwork-penetration-testing/1-system-attack/windows-attacks/rdp

Se usa el módulo rdp_scanner de Metasploit para averiguar si se trata del servicio RDP.

spaces_lhjuckuLbvBn36EoFL7P_uploads_git-blob-299e397b713cffcf14cf61fc56c44df60da972b4_image-20230314210003571 Imagen; ejecución de Metasploit sobre la víctima. Fuente; https://blog.syselement.com/ine/courses/ejpt/hostnetwork-penetration-testing/1-system-attack/windows-attacks/rdp