使用rdpproxy和rdpy对RDP进行中间人攻击的总结

一、总述

本文是想通过分析对RDP协议进行协议还原,在总述这章描述了本次分析后对RDP协议还原的可行性;在第二、三章节描述了RDP协议交互的具体过程;在第四章节描述了使用中间人攻击的方法进行解密的可行性测试;在第五章节列出了本次分析过程中参考的相关资料。

1.分析目的

通过分析能够对使用RDP协议的远程控制工具的操作进行还原,比如:在远程过程中对远程桌面的文件进行传输。

2.分析方法

本文分别使用了两种方法进行分析:1)对远程桌面过程中产生的流量报文进行分析,在分析过程中发现RDP协议在建立连接时使用了加密技术,加密后的报文是看不出来的,因此采用第二种方法;2)采用中间人攻击的方法,试图对加密的报文进行解密,然后再使用第一种方法进行分析;

3.中间人工具的选择

在使用中间人攻击时选择了两个工具:rdpy和rdpproxy。

选择这两个工具的原因是它们都是有源代码的,rdpy使用的是Python语言,而rdpproxy使用的是C语言。

4.分析结论

4.1 rdpproxy测试结论

该工具已不能进行中间人攻击,在进行中间人攻击时会报错误提示:“数据加密错误”。

4.2 rdpy测试结论

可成功进行中间人攻击,该工具还能回放在远程过程中的所用操作,也就是说使用该工具是对RDP可以进行解密的。不过有时还会出现像rdpproxy时的错误提示:“数据加密错误”,导致无法远程服务器。

4.3 分析结论

通过以上的方法我们可以得到如下结论:可以使用RDPY工具对RDP协议的加密层进行解密(不是每次都能成功)。主要问题在于RDPY是使用python语言编写的,而我们是要用C语言去编写,因此我们需要把python语言翻译成C语言后才能对其进间解密,这个工程是很大的,需要大量的工作量,且这个工具还不是每次都可以攻击成功,因此能否使用这个工具进行下一步工作还需要进一步的商讨。

二、协议交互概述

特别说明:RDP从连立到结束始终是一条流,在整个连接阶段,RDP协议采用TPKT协议进行封装并传输数据。

根据我们当前抓包分析情况是这样的:

1.先进行TCP三次握手连接,成功之后进入下一步。

2.客户端首先发送ISO层连接请求(ISO层连接在TPKT协议之上)

3.服务器收到后发送ISO连接确认

4.确认后的TPKT的数据部分全部是SSL加密,已无法看到后面的协议交互过程

网上搜集的资源关于RDP交互过程如下(来源于CSDN博客):

1.客户端连接服务器

2.ISO数据层建立连接

3.发送初始协议相关信息,接收加密、解密密钥(此部分应该就是我们自已分析时的SSL加密部分)

4.虚拟通道申请

5.加密形式发送客户端系统信息,同时验证加密协议

6.平台软件证书验证

7.各功能建立连接,各功能数据传输,功能实现

三、协议连立具体过程

1.当前报文整体交互过程

如下图

2.三次握手后进行ISO层连接请求

TPKT下面分别是版本、保留字段和长度

ISO请求连接前2个分别是长度和TPDU类型,0x0e代表请求,0xd0代表请求确认,下图是确认的报文:

3. TPKT数据部分使用了SSL加密,根据16进制特征判断为SSL

4.使用如下方法可以把这部分数据解成SSL协议

1)右键点击Decode as

2)在右边找到SSL协议,点击确定

3)软件就可以直接看到数据部分已解成SSL协议的了

四、RDP中间人攻击方法

目前通过查找资料,获得了两种可对RDP进行中间人攻击的工具,即:rdpproxy和rdpy。这两个工具都是开源的,只是开发语言不同,rdpproxy是用C语言编写的,而rdpy是使用python编写的。下面分别简绍这两种工具的使用方法:

1. 使用rdpproxy进行中间人攻击

这个工具在网上非常难找,rdpproxy有两个版本,windows版本和linux(目前看只能在ubuntu系统可用)。其中windows版本已不能使用,本次介绍的是ubuntu版本的使用方法。但必须要说明的是这个工具也不能进行中间人攻击了。

1.1  rdpproxy工具下载

目前在网上这个工具都是要积分下载的,而积分都是要充钱的,因此就不提供网址了,自已搜吧。

1.2  rdesktop工具使用

编译rdesktop工具

如上图,解压后会有个rdesktop目录,这是一个开源的远程桌面工具,它的主要作用是远程windows系统桌面,rdesktop目录内的代码是需要编译的,编译方法:./configure、make、make install

Rdesktop的使用方法

./rdesktop 远程IP地址,比如:./rdesktop 192.168.1.100 回车,然后直接输用户名和密码即可远程操作。

1.3  rdpproxy所用到的环境

1台ubuntu系统主机,该机器用于中间人攻击使用,同时该主机需要安装Python,我的Python版本是2.7.3

2台windows系统主机,1台作为客户机,另1台作为服务器,组网如图:

1.4  使用rdpproxy进行中间人攻击(攻击失败)

1.定位到rdpproxy目录

2.进行rdpplayer目录

3.执行Python脚本(rpp.py),监听服务器:pythonrpp.py 目标服务器IP,如:python rpp.py 192.168.1.200

4.此时客户端认为ubuntu为服务器,使用windows自带的远程工具远程ubuntu的ip,远程后发现不能远程目标服务器,且报错如下图:

5.中间人攻击失败

2. 使用rdpy进行中间人攻击

RDPY一个单纯由Python实现的微软远程桌面协议。RDPY由网络引擎Twisted驱动,即RDPY是基于Twisted Python实现的微软RDP远程桌面协议。RDPY支持标准的RDP安全协议,通过SSL或者NLA加密验证(或者通过nltmv2验证协议)。

注:使用rdpy工具是可以成功进行中间人攻击的,但有时在登录成功后不久后,也会出现“加密数据错误,请重新登录”的问题。

2.1 rdpy工具下载与安装

一、RDPY的安装

RDPY的下载地址:https://github.com/citronneur/rdpy,建议可以使用pip进行安装,比较方便。下面介绍我的安装过程,系统环境windows7,python2.7.

1、安装 PyQt:PyQt的下载地址:http://sourceforge.net/projects/pyqt/files/PyQt4/PyQt-4.11.3/,选择32位或者64位的安装包。

2、安装pywin32,下载地址:http://sourceforge.net/projects/pywin32/files/pywin32/,选择需要的版本。

3、安装RDPY:这里利用easy_install、pip进行安装。

easy_install: https://bitbucket.org/pypa/setuptools/raw/bootstrap/ez_setup.py,下载后,python.exeez_setup.py进行安装。

安装pip:C:\Python27\Scripts\easy_install.exepip。安装完成后,在C:\Python27\Scripts\下有pip.exe文件。

运行pip installrdpy,如果没有提示什么错误,表示安装成功。

2.2 rdpy工具的使用介绍

在安装完rdpy工具后,你的Python目录的scripts下会多出几个rdpy的脚本,如下:

这里每一个文件都有不同的作用:

rdpy-rdpclient

rdpy-rdpclient是一个简单的RDP Qt4客户端。


1
$ rdpy-rdpclient.py [-u username] [-p password] [-d domain] [-r rss_ouput_file] [...] XXX.XXX.XXX.XXX[:3389]

你可以在会话场景记录时使用rdpy-rdpclient。

rdpy-vncclient

rdpy-vncclient是一个简单的VNC Qt4客户端。


1
$ rdpy-vncclient.py [-p password] XXX.XXX.XXX.XXX[:5900]

 

rdpy-rdpscreenshot

rdpy-rdpscreenshot将登陆画面保存在文件中。


1
$ rdpy-rdpscreenshot.py [-w width] [-l height] [-o output_file_path] XXX.XXX.XXX.XXX[:3389]

 

rdpy-vncscreenshot

rdpy-vncscreenshot会将程序第一个界面更新至文件中。


1
$ rdpy-vncscreenshot.py [-p password] [-o output_file_path] XXX.XXX.XXX.XXX[:5900]

 

rdpy-rdpmitm

rdpy-rdpmitm是一个RDP代理,它允许你在RDP协议之上执行一次中间人攻击,并将会话场景信息记录在一个可以被rdpy-rssplayer重放的rss文件中。


1
$ rdpy-rdpmitm.py -o output_dir [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] [-r (for XP or server 2003 client)] target_host[:target_port]

输出目录是用来以(YYYYMMDDHHMMSS_ip_index.rss)这种格式保存rss文件的。私钥文件和证书文件是典型的SSL链接加密文件。RDP远程桌面协议能够与其自身的安全层次进行对话,如果两个参数都被省略了,服务器端将会使用标准的RDP协议作为安全分层。

rdpy-rdphoneypot

rdpy-rdphoneypot是一个基于RDP的蜜罐。使用会话场景记录并通过RDP协议来重放会话场景。


1
$ rdpy-rdphoneypot.py [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] rss_file_path_1 ... rss_file_path_N

rdpy-rssplayer

rdpy-rssplayer是用来重放由rdpy-rdpmitm或者rdpy-rdpclient二进制文件所产生的会话场景记录(rss)文件。


1
$ rdpy-rssplayer.py rss_file_path

2.3 rdpy所用到的环境

3台windows系统主机,1台作为客户机,1台作为服务器,另1台是装有rdpy工具的中间人攻击主机,组网如图:

2.4 使用rdpy进行中间人攻击(攻击成功)

1.定位到rdpy脚本处,执行监听命令: rdpy-rdpmitm.py –oc:/rdpy[h1] 192.168.1.200[h2]

2.此时客户机会认为中间人攻击主机是服务器,服务器认为中间人攻击主机是客户机

3.客户机使用windows自带远程工具进行远程:远程ip是中间人攻击的主机IP,但实际上客户机远程后的桌面是服务器的桌面。

4.中间人攻击主机停止监听后,会在c:/rdpy目录下生成.rss文件,该文件可使用rdpy-rssplayer.py文件进行回放,回放中可以收看客户机远程的全部操作过程

注:使用rdpy监听过程中,客户机可成功登录服务器,但有时在登录成功后不久后,也会出现“加密数据错误,请重新登录”的问题。

五、协议分析的参考资料

1.wiki.wireshark 官方对RDP协议的分析:https://wiki.wireshark.org/RDP

2.微软官方网址简单说明了RDP协议过程

https://support.microsoft.com/zh-cn/kb/186607

3.RDP采用的RSA加密算法

https://msdn.microsoft.com/en-us/library/aa383015(VS.85).aspx

4.豆丁网提供的RDP协议格式详解

http://www.docin.com/p-641511813.html

5.CSDN博客,关于RDP协议详细解析

http://blog.csdn.net/jingwen3699/article/details/7765480

6.较详细的说明了rdpy工具的安装与使用方法

https://github.com/citronneur/rdpy

7.在第3章节中说明了使用rdpproxy的方法

http://www.docin.com/p-782713242.html

[h1]监听过程中产生的回放文件输出的目录

[h2]监听的目标服务器IP



时间: 2024-11-04 23:53:15

使用rdpproxy和rdpy对RDP进行中间人攻击的总结的相关文章

Android 中间人攻击

0x00 Android中间人攻击的思路就是劫持局域网中被攻击机器和server间的对话.被攻击机器和server表面上工作正常,实际上已经被中间人劫持.能够从一张图来明确这个过程. 受攻击主机发送的数据,首先经过了攻击者.从server返回的数据也经过攻击者,再发送给受攻击主机. 0x01 Android开源中间人攻击样例.请參考https://github.com/ssun125/Lanmitm.我们这里主要分析这个链接中效果预览中会话劫持的原理. watermark/2/text/aHR0

Android安全之Https中间人攻击漏洞

Android安全之Https中间人攻击漏洞 Android安全 Https 攻击漏洞 应用加固 御安全 MITM 0X01 概述   HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性. 中间人攻击,Man-in-the-middle attack,缩写:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全

使用charles实现ssl中间人攻击

一.普通抓包http.https 将手机设置代理,指向PC机 在pc机上安装charles 手机应用发起http.https请求,可以看到http明文.https加密请求(ssl通信会加密请求和响应) 二.https中间人攻击 https与服务端或者ssl证书一起工作,证书由证书中心提供,用户会认为证书是安全的.事实证明,任何人都可以创建自己的证书,可以通过以下步骤使用charles实现自签名的证书. 点击proxy->proxy settings 点击ssl标签 确保勾上Enable ssl

MITMf:中间人攻击框架 -由中国寒龙整理收集

MITMf:中间人攻击框架 MITMF是一个可用于中间人攻击的框架.这个框架是基于Python的,它拥有数个插件,增加了更多的渗透测试方面的功能.一些实用的插件: jskeylogger – 这个插件可以在目标机器上注入一个 javascript 键盘记录器 JavaPwn – 在客户端利用过时的Java浏览器插件,配合使用Metasploit 安装假的Java更新 FilePwn – 这个插件使用后门工厂掩饰可执行文件,以及通过http发送zip文件 Spoof – 使用ARP欺骗,DNS欺骗

中间人攻击——ARP欺骗的原理、实战及防御

? 1.1 什么是网关 首先来简单解释一下什么是网关,网关工作在OSI七层模型中的传输层或者应用层,用于高层协议的不同网络之间的连接,简单地说,网关就好比是一个房间通向另一个房间的一扇门. 1.2 ARP协议是什么 ARP(Address Resolution Protocol)地址转换协议,工作在OSI模型的数据链路层,在以太网中,网络设备之间互相通信是用MAC地址而不是IP地址,ARP协议就是用来把IP地址转换为MAC地址的.而RARP和ARP相反,它是反向地址转换协议,把MAC地址转换为I

我们来一起说说HTTPS中间人攻击与证书校验

一.前言 随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是未校验https证书从而导致"中间人攻击",并且由于修复方案也一直是个坑,导致修复这个问题时踩各种坑,故谨以此文简单的介绍相关问题. 本文第一节主要讲述https的握手过程,第二节主要讲述常见的"https中间人攻击"场景,第三节主要介绍证书校验修复方案,各位看官可根据自己口味浏览. 二.HTTPS握手过程 首先来看下https的工作原

我们一起来聊聊中间人攻击

在聊中间人攻击之前,不了解HTTPS握手过程的同学可以查看我的前一篇HTTPS握手介绍. 一.HTTPS握手过程(请点击) 三.中间人攻击 https握手过程的证书校验环节就是为了识别证书的有效性唯一性等等,所以严格意义上来说https下不存在中间人攻击,存在中间人攻击的前提条件是没有严格的对证书进行校验,或者人为的信任伪造证书,下面一起看下几种常见的https"中间人攻击"场景. 1.证书未校验 由于客户端没有做任何的证书校验,所以此时随意一张证书都可以进行中间人攻击,可以使用bur

中间人攻击

1.什么是中间人攻击Man-in-the-MiddleAttack(简称“MITM攻击”),通过各种技术手段将攻击服务器放置在两台正常通信的计算机之间. 2.中间人攻击的三种方式1)DNS欺骗修改受害人计算机host,或者DNS服务器,控制路由器等方法,把受害人要访问的域名对应的ip解析为攻击者控制的机器,这时受害人发送给目标机器的数据就发到了攻击人的机器上.攻击者可以监听甚至修改数据. 2)会话劫持攻击人参与到受害人和目标机器正常的Tcp会话中,从而干涉会话双方的数据传输.这个“攻击人”可以是

Ettercap中间人攻击--介绍

前言 Ettercap有四种界面:Text,Curses,GTK2,Daemonize. -T      命令行界面,只显示字符.通常与配套的参数有-q(安静模式),加上该选项,则不会显示抓到的数据包内容. Curses和GTK2是图形化界面. Daemonize是守护模式,相当于在后台运行. ettercap运行方式 ettercap有两种运行方式:UNIFIED和BRIDGED. 其中,UNIFIED的方式是以中间人方式嗅探:BRIDGED方式是在双网卡情况下,嗅探两块网卡之间的数据包. U