Login

Lost your password?
Don't have an account? Sign Up

Test de pénétration sur le bureau à distance (port 3389)

Dans cet article, nous abordons les tests de pénétration des services de Bureau à distance dans quatre scénarios. À travers cela, nous essayons d’expliquer comment un attaquant peut violer la sécurité dans un scénario différent et quels types d’étapes majeures devraient prendre par l’administrateur lors de l’activation des services RDP pour résister aux attaques.

Le protocole RDP (Remote Desktop Protocol) également connu sous le nom de «Terminal Services Client» est un protocole propriétaire développé par Microsoft, qui fournit à un utilisateur une interface graphique pour se connecter à un autre ordinateur via une connexion réseau. Les serveurs RDP sont intégrés aux systèmes d’exploitation Windows; par défaut, le serveur écoute sur le port TCP  3389.

Pour plus de détails, visitez Wikipedia.org

Commençons !!!

Supposons que l’administrateur ait autorisé le service de bureau à distance dans son système pour la connexion au réseau local.

Analyse du port RDP avec nmap

Un attaquant peut prendre l’aide de nmap pour vérifier si le port 3389 est activé ou non. Pour la pénétration RDP, nous utilisons également nmap afin de scanner le système ciblé (192.168.0.102) pour un port RDP ouvert.

Si le service de bureau à distance est autorisé, nmap affichera OPEN comme état pour le port 3389, comme indiqué dans l’image donnée.

Attaque par force brute sur RDP

Pour nous connecter à RDP, nous devons toujours nous connecter en tant que connexion authentifiée. Un utilisateur valide peut entrer son nom d’utilisateur et son mot de passe, mais un utilisateur non valide (attaquant) ne peut pas deviner les informations d’identification correctes pour la connexion, par conséquent, ils récupèrent les informations d’identification via une attaque par force brute.

Nous utilisons hydra pour démontrer une attaque par force brute sur RDP.

Hydra: C’est un cracker de connexion parallélisé qui prend en charge de nombreux protocoles d’attaque. Il est très rapide et flexible, et de nouveaux modules sont faciles à ajouter. Cet outil permet aux chercheurs et aux consultants en sécurité de montrer à quel point il serait facile d’obtenir un accès non autorisé à un système à distance.

Ouvrez le terminal dans votre Kali Linux et tapez la commande suivante:

À partir de l’image ci-dessous, vous pouvez lire le nom d’utilisateur: ignite et le mot de passe: 123456 que nous devons récupérer par une attaque par force brute sur le port 3389.

En utilisant ces informations d’identification, l’attaquant peut se connecter au service Remote Desktop.

Ajouter une politique de sécurité contre la force brute

L’administrateur peut protéger son réseau contre les attaques par force brute à l’aide de la politique de verrouillage de compte . Configurer les politiques suivantes en paramètre de sécurité > Stratégies de compte > verrouillage de compte politiques

Durée du verrouillage du compte: politique qui définit la période pendant laquelle un compte verrouillé reste verrouillé jusqu’à ce qu’il soit automatiquement déverrouillé par lui-même ou réinitialisé par l’administrateur. Il verrouille le compte pendant une durée spécifiée lorsque l’utilisateur franchit la tentative de connexion définie par le seuil de verrouillage du compte.

Seuil de verrouillage de compte: stratégie qui définit le nombre de tentatives de connexion échouées et verrouille le compte pendant une période spécifiée par la durée de verrouillage du compte. Cela permettra un nombre maximum de tentatives de connexion à votre compte.

Compteur de verrouillage du compte de repos après la stratégie qui définit la période de temps qui doit s’écouler après l’échec d’une tentative de connexion. Le temps de réinitialisation doit être inférieur ou égal à la durée de verrouillage du compte.

Durée du verrouillage du compte: 30 minutes

Seuil de verrouillage du compte: 2 tentatives de connexion non valides

Compteur de verrouillage du compte de repos après 30 minutes

Si le nombre de tentatives est supérieur à la valeur du seuil de verrouillage de compte , l’attaquant pourrait potentiellement verrouiller chaque compte.

Testons maintenant la politique de verrouillage de compte en effectuant à nouveau une attaque par force brute sur le port 3389.

Lorsque l’attaquant récupère le nom d’utilisateur et le mot de passe, il les utilisera sûrement pour la connexion, mais comme vous pouvez le voir, il a fallu plus de 2 tentatives pour déchiffrer le mot de passe, donc selon les politiques définies, le compte devrait être verrouillé pendant 30 minutes.

Assurons-le en vous connectant au bureau à distance

Ouvrez le terminal et tapez «rdesktop 192.168.0.102 <IP cible>» lorsque vous obtiendrez l’écran cible, entrez le nom d’utilisateur et le mot de passe qui doivent être récupérés de la force brute.

À partir de l’image donnée, vous pouvez observer que nous avons entré le nom d’utilisateur et le mot de passe découverts ci-dessus ignite: 12345 .

Lorsque vous (l’attaquant) soumettez vos informations d’identification, il vous enverra un message indiquant que le compte actuel a été verrouillé et ne peut pas être connecté comme indiqué dans l’image donnée.

Cela verrouillera le compte de l’utilisateur enflammé pendant 30 minutes et, par conséquent, l’administrateur apprendra que quelqu’un a tenté une attaque par force brute pour un accès non autorisé.

De cette façon, nous pouvons protéger l’attaque par force brute contre les accès non autorisés.

Scanner le port 3389 pour l’attaque DOS

Plusieurs fois, afin d’identifier si l’hôte est vulnérable à RDP ou non, l’attaquant utilise l’exploit MS12-020-check pour tester sa force.

Ouvrez le terminal dans votre infrastructure Kali Linux et Demarrer Metasploit, saisissez maintenant la commande suivante pour rechercher la vulnérabilité.

À partir de l’image donnée que vous pouvez, elle montre que la cible est vulnérable , vous pouvez maintenant utiliser Google pour trouver son exploit pour l’attaque.

Une fois que l’attaque sait que le port cible 3389 est vulnérable à MS12-020-check, il essaiera sûrement de faire une attaque avec Ms12-0200maxchannelids . Cela lancera une attaque DOS sur le système cible.

Maintenant, tapez la commande suivante pour l’attaque DOS qui plantera le système.

À partir de l’image ci-dessous, vous pouvez remarquer que la cible est l’arrêt du système en raison d’un problème.

L’exécuteur criminel d’attaques DoS cible souvent des sites ou des services hébergés sur des serveurs Web de haut niveau tels que des banques ou des passerelles de paiement par carte de crédit pour rendre une machine ou une ressource réseau indisponible pour ses utilisateurs prévus en perturbant temporairement ou indéfiniment les services d’un hôte connecté au L’Internet.

Activer RDP dans le PC des victimes (2 ème scénario)

Si un attaquant a piraté le système victime dans lequel le service RDP n’est pas activé, l’attaquant lui-même peut activer ce service en utilisant le module de post-exploitation construit par Rapid 7 dans Metasploit.

Maintenant, pour effectuer cela, nous devons avoir besoin d’une session active du système cible. À partir de l’image donnée, vous pouvez remarquer que vous avez déjà une session de mètrepreter du système cible.

Ici, nous avons 2 sessions  meterpreter: session 1 via multi handler et session 2 de bypassuac pour les privilèges d’administrateur.

Tapez maintenant la commande suivante pour la génération post-exploitation pour activer le service RDP.

Ce module permet d’appliquer le hack ‘sticky keys’ à une session avec les droits appropriés. Le piratage fournit un moyen d’obtenir un shell SYSTEM en utilisant une interaction au niveau de l’interface utilisateur sur un écran de connexion RDP ou via une boîte de dialogue de confirmation UAC.

Connectez-vous maintenant au bureau distant à l’aide de la commande suivante:

Il demandera de soumettre les informations d’identification pour la connexion mais nous n’en sommes pas conscients, par conséquent, nous avons lancé une attaque par clé de bâton ci-dessus afin que nous puissions accéder à l’ invite de commande de la victime en appuyant 5 fois sur la touche Maj comme indiqué dans l’image donnée.

Une autre façon d’activer RDP

Lorsque vous tenez une session meterpreter du type de système de la victime, suivez la commande qui active le service RDP, définissez également les informations d’identification de votre choix.

À partir de l’image donnée, vous pouvez observer qu’il a modifié l’ utilisateur raaz avec le mot de passe 1234  dans «Utilisateurs du bureau à distance» et dans «Administrateurs». Vous pouvez maintenant vous connecter avec l’utilisateur créé, vous connecter avec le bureau distant à l’aide de la commande suivante:

Entrez le nom d’utilisateur: raaz et le mot de passe: 1234 pour la connexion.

Impressionnant!!! Nous nous sommes bien connectés au système distant.

Redirection de port (3 ème scénario)

Vous pouvez transférer le port 3389 sur un autre port pour augmenter la sécurité du système, mais pour effectuer cette opération dans votre système d’exploitation Windows, explorez l’emplacement suivant via l’ éditeur de registre .

À partir de l’image donnée que vous pouvez voir dans le panneau de droite, le numéro de port est mis en évidence, cliquez dessus.

Déplacer le port de 3389 vers un numéro de port spécifique

Vous obtiendrez une fenêtre d’édition DWORD dans laquelle vous pourrez éditer la valeur 32 bits. Par défaut, il affichera d3d qui est la valeur hexadécimale pour 3389.

Remplacez la valeur 3389 par une autre valeur de vos choix telle que 3314 et sélectionnez hexadécimal comme base qui convertira 3314 en cf2.

À partir de l’image donnée, vous pouvez voir que le port 3314 est maintenant ouvert .

RDP sécurisé par le biais de pare – feu de fenêtre (4 ème Scénario)

Ouvrez la fenêtre Pare-feu avec les paramètres avancés, puis passez à ses règles entrantes et explorez Bureau à distance (TCP-In) pour le profil de domaine pour ajouter un filtre de sécurité en modifiant les paramètres du pare-feu.

Autoriser le trafic d’une adresse IP spécifique

Après cela, il ouvrira une fenêtre pour modifier ses propriétés, cliquez sur la portée . Ici, vous obtiendrez deux panneaux pour le type de connexion établissant l’adresse IP locale et distante . 

Dans l’adresse IP distante, choisissez la 2ème option pour une adresse IP spécifique et entrez une adresse IP à laquelle vous souhaitez autoriser la connexion des services de bureau à distance, comme indiqué dans l’image donnée.

Cela arrêtera tout trafic provenant d’une autre IP et augmentera la sécurité de votre réseau contre tout type d’attaque.

Admin bar avatar
http://hackingtutoriels.com
Hacking Tutoriels est un blog professionnel ouvert à toute personne désireuse d'apprendre le Hacking Ethique par des cours et tutoriels de qualités régulièrement mis à jour. Tous les cours et tutoriels sont dispensé à but éducatif. L'utiliser à d'autres fin non-légale est de la responsabilité de l’Étudiant

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*
*