浅谈RDP与输入法的奇妙碰撞

免责声明

由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

公众号现在只对常读和星标的公众号才展示大图推送，

建议大家把听风安全设为星标，否则可能就看不到啦！

----------------------------------------------------------------------

前言

前几天看到很多关于某个输入法爆出“漏洞”的文章，其实早在七月份就有师傅在其他平台发出过相关视频，正好也有一段时间没写文章了就抽个时间来简单谈谈可以延伸的利用点，本篇文章重点不在输入法的利用，主要介绍如何使用RDP协议结合输入法进行利用。

正文

由于我个人就比较喜欢用**输入法所以在看到相关详情的第一时间就进行了复现，确实可以成功复现。第一时间想到可以通过此方法来进行近源攻击可以快速的拿下要近源的目标机器。但是近源在实战里面用到的相对还是比较少的，然后就把目光转移到了远程连接这里。

正常远程连接一台机器是这样的 需要先输入账号密码才能进入界面

如果这种情况就不能通过漏洞来进行利用

然后看到一篇文章技术分享｜死磕RDP协议，从截图和爆破说起这篇文章介绍了RDP协议相关的内容有兴趣的师傅可以看看，文中说goby可以在不输入账号密码情况下来进行截图，截图并不是我们的关注点，但是要截图不就已经进入了界面吗，用goby来试试

发现goby确实可以成功截图

RDP到目前为止已经迭代了好几个版本，本来是顺着上面文章中的思路，猜测可能使用低版本的协议可以直接进入到界面。不过这个时候正好看到一个师傅的项目（项目地址会在参考文章中给出），秉承着简单高效能用的原则放弃了上面的研究。其实跟低版本的思路差不多，因为高版本的协议都需要先进行认证再进入到界面比如PROTOCL_HYBRID和PROTOCOL_HYBRID_EX

我们可以通过设置 要求连接时不使用NLA直接进行连接

使用以下配置文件即可

full address:s:127.0.0.1:3389
screen mode id:i:2
use multimon:i:0
desktopwidth:i:2560
desktopheight:i:1440
session bpp:i:32
winposstr:s:0,1,775,240,2025,1343
compression:i:1
keyboardhook:i:2
audiocapturemode:i:0
videoplaybackmode:i:1
connection type:i:7
networkautodetect:i:1
bandwidthautodetect:i:1
displayconnectionbar:i:1
enableworkspacereconnect:i:0
disable wallpaper:i:0
allow font smoothing:i:0
allow desktop composition:i:0
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1
audiomode:i:0
enablecredsspsupport:i:0
redirectprinters:i:1
redirectlocation:i:0
redirectcomports:i:0
redirectsmartcards:i:1
redirectwebauthn:i:1
redirectclipboard:i:1
redirectposdevices:i:0
autoreconnection enabled:i:1
authentication level:i:2
prompt for credentials:i:0
negotiate security layer:i:1
remoteapplicationmode:i:0
alternate shell:s:
shell working directory:s:
gatewayhostname:s:
gatewayusagemethod:i:4
gatewaycredentialssource:i:4
gatewayprofileusagemethod:i:0
promptcredentialonce:i:0
gatewaybrokeringtype:i:0
use redirection server name:i:0
rdgiskdcproxy:i:0
kdcproxyname:s:
enablerdsaadauth:i:0

保存为RDP文件就能使用

其中enablecredsspsupport:i:0：代表是否启用CredSSP（凭据安全服务提供程序）支持，这是一种用于NLA（网络级别身份验证）的安全提供程序。0表示禁用，1表示启用。

然后使用此文件来连接刚才的目标机器

已经成功进入到了锁屏界面 接下来就可以通过相关漏洞来进行利用。

不过要注意的是这个方式只能算是对先认证再进入界面的一个“绕过”，并不是NLA绕过。

能进入到界面是因为机器并没有开启NLA

如果开启了NLA再去连接就会像下面这样

这里附上开启、关闭 NLA的命令

开启

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 1 /f

关闭

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

不过实际上这两条命令没什么用 因为使用这两条命令需要管理员权限

也算是比较鸡肋的一个利用点，不过还是有部分机器关闭NLA的，遇到关闭的就可以使用以上方法进行利用。

结尾

匆忙的水下一篇文章，文章内容可能不完全正确，如有大佬发现文中内容有错误的地方恳请斧正！也欢迎各位师傅共同交流学习技术！欢迎留言区交流讨论~

参考文章

https://mp.weixin.qq.com/s/Iv87dwn\_VTruYExet8AnlA

https://github.com/0xCaner/RDP-NLA-Closing-Scanner

不可错过的往期推荐哦

![](https://mmbiz.qpic.cn/mmbiz_gif/AFgdiaw95AaNY572lpficoa3l1cVE17VfZ4WDWhcMYWJbibW3UvQP4H2Izrsic6ZSlqnw3DtMzjzJHvuhGJ2V6CF2A/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&retryload=1&tp=webp)

[流量对抗-域前置基础设施搭建](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247501811&idx=1&sn=31cdbff016a5c162d40fbd0f82e6d33e&chksm=cf24f969f853707fed6f621a72bce6c6d471463ef5df7d2ad584fa325cf1c98e0b590b21746d&scene=21#wechat_redirect)  

[成熟后门身披商业外衣，对抗杀软实现远控](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247501647&idx=1&sn=464dd90eefb5a9771893f5731109eeb9&chksm=cf24f9d5f85370c35a6a4e1644f0fa6cd95ffc0c9b66af3c8b5e088e8796d682fdb31bde34d5&scene=21#wechat_redirect)  

[一次有趣的RCEbypass](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247501484&idx=1&sn=23db139b55f2aec21160d1027a93955f&chksm=cf24f836f853712055520522805f76908f37e4be2b3f2973c0898aaeec887ccb03ed1f6f95a0&scene=21#wechat_redirect)  

[国H零失分防守经验：蜜罐环绕靶标的围点打援策略](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247501369&idx=1&sn=c2dacc949b807d082388ce34384852b3&chksm=cf24f8a3f85371b551f4842d519dcb8c114cd5fbf6df4189dceeeb7941a76064fe49e74c30e3&scene=21#wechat_redirect)  

[几次护网小结之红队打点及小技巧](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247501357&idx=1&sn=89482dc2d045065ca6aa91a46dbe27bf&chksm=cf24f8b7f85371a1d161f0566da903a2794c459440d66f52532aad436f3ab3d44cc564ccd116&scene=21#wechat_redirect)  

[某裸聊诈骗站点渗透实战](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247500882&idx=1&sn=1a24dbffd08bc12eb0d2050ae6bef189&chksm=cf24fac8f85373de4def222f6beeafc43ea3b536315e08a0b5c738b425095435c85347da6756&scene=21#wechat_redirect)  

[你存在，在我们的攻击画像里](http://mp.weixin.qq.com/s?__biz=Mzg3NzIxMDYxMw==&mid=2247500764&idx=1&sn=a89e12a8c3a67c40da398baf4cdce5fe&chksm=cf24fd46f8537450897d3a09fa5adec371a1fb2ef676621ba073268eab4f6b6490483c73fd43&scene=21#wechat_redirect)

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送可以设为星标