一、总述
本文是想通过分析对RDP协议进行协议还原,在总述这章描述了本次分析后对RDP协议还原的可行性;在第二、三章节描述了RDP协议交互的具体过程;在第四章节描述了使用中间人攻击的方法进行解密的可行性测试;在第五章节列出了本次分析过程中参考的相关资料。
1.分析目的
通过分析能够对使用RDP协议的远程控制工具的操作进行还原,比如:在远程过程中对远程桌面的文件进行传输。
2.分析方法
本文分别使用了两种方法进行分析:1)对远程桌面过程中产生的流量报文进行分析,在分析过程中发现RDP协议在建立连接时使用了加密技术,加密后的报文是看不出来的,因此采用第二种方法;2)采用中间人攻击的方法,试图对加密的报文进行解密,然后再使用第一种方法进行分析;
3.中间人工具的选择
在使用中间人攻击时选择了两个工具:rdpy和rdpproxy。
选择这两个工具的原因是它们都是有源代码的,rdpy使用的是Python语言,而rdpproxy使用的是C语言。
4.分析结论
4.1 rdpproxy测试结论
该工具已不能进行中间人攻击,在进行中间人攻击时会报错误提示:“数据加密错误”。
4.2 rdpy测试结论
可成功进行中间人攻击,该工具还能回放在远程过程中的所用操作,也就是说使用该工具是对RDP可以进行解密的。不过有时还会出现像rdpproxy时的错误提示:“数据加密错误”,导致无法远程服务器。
4.3 分析结论
通过以上的方法我们可以得到如下结论:可以使用RDPY工具对RDP协议的加密层进行解密(不是每次都能成功)。主要问题在于RDPY是使用python语言编写的,而我们是要用C语言去编写,因此我们需要把python语言翻译成C语言后才能对其进间解密,这个工程是很大的,需要大量的工作量,且这个工具还不是每次都可以攻击成功,因此能否使用这个工具进行下一步工作还需要进一步的商讨。
二、协议交互概述
特别说明:RDP从连立到结束始终是一条流,在整个连接阶段,RDP协议采用TPKT协议进行封装并传输数据。
根据我们当前抓包分析情况是这样的:
1.先进行TCP三次握手连接,成功之后进入下一步。
2.客户端首先发送ISO层连接请求(ISO层连接在TPKT协议之上)
3.服务器收到后发送ISO连接确认
4.确认后的TPKT的数据部分全部是SSL加密,已无法看到后面的协议交互过程
网上搜集的资源关于RDP交互过程如下(来源于CSDN博客):
1.客户端连接服务器
2.ISO数据层建立连接
3.发送初始协议相关信息,接收加密、解密密钥(此部分应该就是我们自已分析时的SSL加密部分)
4.虚拟通道申请
5.加密形式发送客户端系统信息,同时验证加密协议
6.平台软件证书验证
7.各功能建立连接,各功能数据传输,功能实现
三、协议连立具体过程
1.当前报文整体交互过程
如下图
2.三次握手后进行ISO层连接请求
TPKT下面分别是版本、保留字段和长度
ISO请求连接前2个分别是长度和TPDU类型,0x0e代表请求,0xd0代表请求确认,下图是确认的报文:
3. TPKT数据部分使用了SSL加密,根据16进制特征判断为SSL
4.使用如下方法可以把这部分数据解成SSL协议
1)右键点击Decode as
2)在右边找到SSL协议,点击确定
3)软件就可以直接看到数据部分已解成SSL协议的了
四、RDP中间人攻击方法
目前通过查找资料,获得了两种可对RDP进行中间人攻击的工具,即:rdpproxy和rdpy。这两个工具都是开源的,只是开发语言不同,rdpproxy是用C语言编写的,而rdpy是使用python编写的。下面分别简绍这两种工具的使用方法:
1. 使用rdpproxy进行中间人攻击
这个工具在网上非常难找,rdpproxy有两个版本,windows版本和linux(目前看只能在ubuntu系统可用)。其中windows版本已不能使用,本次介绍的是ubuntu版本的使用方法。但必须要说明的是这个工具也不能进行中间人攻击了。
1.1 rdpproxy工具下载
目前在网上这个工具都是要积分下载的,而积分都是要充钱的,因此就不提供网址了,自已搜吧。
1.2 rdesktop工具使用
编译rdesktop工具
如上图,解压后会有个rdesktop目录,这是一个开源的远程桌面工具,它的主要作用是远程windows系统桌面,rdesktop目录内的代码是需要编译的,编译方法:./configure、make、make install
Rdesktop的使用方法
./rdesktop 远程IP地址,比如:./rdesktop 192.168.1.100 回车,然后直接输用户名和密码即可远程操作。
1.3 rdpproxy所用到的环境
1台ubuntu系统主机,该机器用于中间人攻击使用,同时该主机需要安装Python,我的Python版本是2.7.3
2台windows系统主机,1台作为客户机,另1台作为服务器,组网如图:
1.4 使用rdpproxy进行中间人攻击(攻击失败)
1.定位到rdpproxy目录
2.进行rdpplayer目录
3.执行Python脚本(rpp.py),监听服务器:pythonrpp.py 目标服务器IP,如:python rpp.py 192.168.1.200
4.此时客户端认为ubuntu为服务器,使用windows自带的远程工具远程ubuntu的ip,远程后发现不能远程目标服务器,且报错如下图:
5.中间人攻击失败
2. 使用rdpy进行中间人攻击
RDPY一个单纯由Python实现的微软远程桌面协议。RDPY由网络引擎Twisted驱动,即RDPY是基于Twisted Python实现的微软RDP远程桌面协议。RDPY支持标准的RDP安全协议,通过SSL或者NLA加密验证(或者通过nltmv2验证协议)。
注:使用rdpy工具是可以成功进行中间人攻击的,但有时在登录成功后不久后,也会出现“加密数据错误,请重新登录”的问题。
2.1 rdpy工具下载与安装
一、RDPY的安装
RDPY的下载地址:https://github.com/citronneur/rdpy,建议可以使用pip进行安装,比较方便。下面介绍我的安装过程,系统环境windows7,python2.7.
1、安装 PyQt:PyQt的下载地址:http://sourceforge.net/projects/pyqt/files/PyQt4/PyQt-4.11.3/,选择32位或者64位的安装包。
2、安装pywin32,下载地址:http://sourceforge.net/projects/pywin32/files/pywin32/,选择需要的版本。
3、安装RDPY:这里利用easy_install、pip进行安装。
easy_install: https://bitbucket.org/pypa/setuptools/raw/bootstrap/ez_setup.py,下载后,python.exeez_setup.py进行安装。
安装pip:C:\Python27\Scripts\easy_install.exepip。安装完成后,在C:\Python27\Scripts\下有pip.exe文件。
运行pip installrdpy,如果没有提示什么错误,表示安装成功。
2.2 rdpy工具的使用介绍
在安装完rdpy工具后,你的Python目录的scripts下会多出几个rdpy的脚本,如下:
这里每一个文件都有不同的作用:
rdpy-rdpclient
rdpy-rdpclient是一个简单的RDP Qt4客户端。
1 |
$ rdpy-rdpclient.py [-u username] [-p password] [-d domain] [-r rss_ouput_file] [...] XXX.XXX.XXX.XXX[:3389] |
你可以在会话场景记录时使用rdpy-rdpclient。
rdpy-vncclient
rdpy-vncclient是一个简单的VNC Qt4客户端。
1 |
$ rdpy-vncclient.py [-p password] XXX.XXX.XXX.XXX[:5900] |
rdpy-rdpscreenshot
rdpy-rdpscreenshot将登陆画面保存在文件中。
1 |
$ rdpy-rdpscreenshot.py [-w width] [-l height] [-o output_file_path] XXX.XXX.XXX.XXX[:3389] |
rdpy-vncscreenshot
rdpy-vncscreenshot会将程序第一个界面更新至文件中。
1 |
$ rdpy-vncscreenshot.py [-p password] [-o output_file_path] XXX.XXX.XXX.XXX[:5900] |
rdpy-rdpmitm
rdpy-rdpmitm是一个RDP代理,它允许你在RDP协议之上执行一次中间人攻击,并将会话场景信息记录在一个可以被rdpy-rssplayer重放的rss文件中。
1 |
$ rdpy-rdpmitm.py -o output_dir [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] [-r (for XP or server 2003 client)] target_host[:target_port] |
输出目录是用来以(YYYYMMDDHHMMSS_ip_index.rss)这种格式保存rss文件的。私钥文件和证书文件是典型的SSL链接加密文件。RDP远程桌面协议能够与其自身的安全层次进行对话,如果两个参数都被省略了,服务器端将会使用标准的RDP协议作为安全分层。
rdpy-rdphoneypot
rdpy-rdphoneypot是一个基于RDP的蜜罐。使用会话场景记录并通过RDP协议来重放会话场景。
1 |
$ rdpy-rdphoneypot.py [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] rss_file_path_1 ... rss_file_path_N |
rdpy-rssplayer
rdpy-rssplayer是用来重放由rdpy-rdpmitm或者rdpy-rdpclient二进制文件所产生的会话场景记录(rss)文件。
1 |
$ rdpy-rssplayer.py rss_file_path |
2.3 rdpy所用到的环境
3台windows系统主机,1台作为客户机,1台作为服务器,另1台是装有rdpy工具的中间人攻击主机,组网如图:
2.4 使用rdpy进行中间人攻击(攻击成功)
1.定位到rdpy脚本处,执行监听命令: rdpy-rdpmitm.py –oc:/rdpy[h1] 192.168.1.200[h2]
2.此时客户机会认为中间人攻击主机是服务器,服务器认为中间人攻击主机是客户机
3.客户机使用windows自带远程工具进行远程:远程ip是中间人攻击的主机IP,但实际上客户机远程后的桌面是服务器的桌面。
4.中间人攻击主机停止监听后,会在c:/rdpy目录下生成.rss文件,该文件可使用rdpy-rssplayer.py文件进行回放,回放中可以收看客户机远程的全部操作过程
注:使用rdpy监听过程中,客户机可成功登录服务器,但有时在登录成功后不久后,也会出现“加密数据错误,请重新登录”的问题。
五、协议分析的参考资料
1.wiki.wireshark 官方对RDP协议的分析:https://wiki.wireshark.org/RDP
2.微软官方网址简单说明了RDP协议过程
https://support.microsoft.com/zh-cn/kb/186607
3.RDP采用的RSA加密算法
https://msdn.microsoft.com/en-us/library/aa383015(VS.85).aspx
4.豆丁网提供的RDP协议格式详解
http://www.docin.com/p-641511813.html
5.CSDN博客,关于RDP协议详细解析
http://blog.csdn.net/jingwen3699/article/details/7765480
6.较详细的说明了rdpy工具的安装与使用方法
https://github.com/citronneur/rdpy
7.在第3章节中说明了使用rdpproxy的方法
http://www.docin.com/p-782713242.html
[h1]监听过程中产生的回放文件输出的目录
[h2]监听的目标服务器IP