文章目录
一、应用场景/需求
多用户同时远程登录windows7/2008R2服务器,正常默认情况下如果在其他主机登录成功后原宿主机会进行休眠状态,为了可以使同一账户同时在多个IP地址下进行登录,因此便出本文章!
二、Win服务器单用户同时远程登录
Tips:(前1,2操作都在登录远程桌面情况下,这时原账户已经休眠,操作不隐匿,过于暴露,如果再企业办公中有这个需求,使用方法1,2 如果是在渗透中进行权限维持或者其它操作使用方法3)
- Win服务器操作系统(2003/2008/2012R2)通过修改本地组策略编辑器可以实现多用户同时登录同一个账户情况;
- Win7/10修改本地组策略编辑器后还需要打上多用户补丁可以实现多台用户登录同一个账户情况;
- 拿到cmd控制权限,直接授权ghost用户,实现不同用户登录同一台主机
这里我是用Windows2008R2进行配置演示,正常情况下其他主机远程登录后当前系统会进行到一个登出状态:
为了可以一台或者多台系统可以同时使用同一账户进行使用登录,需要进行如下配置:
》》打开本地组策略编辑器
》》依次点击 ->计算机配置 ->管理模板 ->Windows组件 ->远程桌面服务 ->远程桌面会话主机
》》连接
》》启用限制连接数量
》》在“将远程桌面服务用户限制到单独的远程桌面服务会话”界面中选择“已禁用”然后点击确定
》》重启远程连接服务
》》再次使用其它主机登录当前用户,登录成功
Tips:第三台连接时需要确认是否登进,如确定则2008R2进入休眠状态,如取消则远程登录者登不进
三、Win7/Win10单用户同时远程登录(直接配置)
3.1 介绍
Win7和Win10默认不支持单用户同时登录的,可以使用RDP Wrapper打上termsrv.dll补丁来使目标系统支持和并发RDP会话,以此来支持单用户不同IP地址下进行登录。
优点:
- 同时使用一个用户进行本地和远程登录
- 最多并发15个会话
缺点:
- 需要配置手动配置本地组策略编辑器,依靠一个获得的远程shell完成不了
GITHUB地址:https://github.com/stascorp/rdpwrap
3.2 操作过程
》》github下载编译好的包:
》》在目标服务器上进行解压,直接安装运行
》》运行成功展示如下
》》查看配置文件(RDPConf.exe),显示绿色的fully supported则是支持并安装成功(如果未成功则下载低版本的rdpwrap,然后选择对应版本的rdpwrap.dll文件)
》》成功实现同一用户同时远程登录
》》如需卸载执行uninstall.bat文件即可
四、Win7/Win10单用户同时远程登录(场景二:BypassUAC提权)
这种场景适用于已经手动配置了本地组策略编辑器设置了“不限制连接数量进行远程连接”,然后拿到了一个msf shell控制权。
这里拿到msf控制权过程省略掉
4.1 上传并运行rdpwrap
思路:kali开启一个http站点,通过msf shell下远程下载执行,达到远程运行rdpwrap目的
Kali IP:10.32.22.238
Windows7 IP(target):10.32.22.243
》》kali开启apache服务
》》将github地址下载的rdpwrap文件不解压置于站点目录下
》》msf确定当前用户为普通用户
》》获得shell
》》改乱码为题,将编码设置为中文
》》确认目标系统可以连接外网
》》进入到系统某一目录下,使用certutil下载kali站点下的rdpwrap相关执行文件
》》逐个下载站点下的文件
》》下载完成如下所示
4.2 绕过UAC执行install.bat脚本文件
我们执行install.bat进行安装,发现执行不了,kali一直显示如下:
Windows7会弹框确认如下更改
这里可以参考一下如何BypassUAC
》》再次运行时可以正常运行
》》执行成功
》》使用同一用户进行远程登录,登录成功
五、Win7/Win10多用户登录(全程远程操作)
5.1 前提条件
- 获取到一个meterpreter shell权限即可
5.2 操作方法
5.2.1 方法一:新建用户登录(加入管理员组提权)
》》获取meterpreter shell权限 》》bypassuac 》》getsystem提权
》》进入目标shell控制台,并更改乱码问题
》》创建一新用户test
Tips:
2012R2如果没有禁用本地安全策略的密码复杂度要求是创建不了用户的:(如果创建用户时设置了复杂的密码还不能创建用户请忽略此方法)
》》将test用户加入Administrator组
》》远程登录成功
Tips:这里分两种情况 如果非2012R2服务器需要打rdpwrap补丁,如果为2012R2服务器默认可以允许一台进行远程登录而不影响原主机操作。
》》执行上方的rdpwrap安装文件(标题4.1中的操作,启用单/多用户登录)
5.2.2 方法二:RID劫持(RID赋权提权)
Tips:适用于guest不加入到管理员账户中的操作,直接进行赋权提权
》》加载模块
》》更改配置,设置session为2(提权后的session),并将username设置为新建的test用户
如果使用guest用户直接设置guest_account 为true即可
set guest_account true
》》执行(RID劫持成功)
》》test用户成功远程登录
5.2.3 删除用户(清理痕迹)
删掉创建的用户
六、附录
6.1 如何开启远程桌面
》》->进入系统 ->远程设置
》》设置允许远程连接并设置选择用户
》》输入要登录的用户
》》开启远程桌面服务