内网横向移动—Kerberos攻击SPN扫描WinRMWinRSRDP( 二 ) _spn

2.3.2. 扫描RDP服务
默认的RDP服务是3389端口，那么我们就使用端口扫描选择扫描3389，由于我们这些机器是不出网的，所以选择扫描另外一个网段，一定要提权后扫描哦，如果没提权可能无法扫描其它网段或者直接就不显示其它网段。
2.3.3. 设置代理
这里我们就使用使用之前学到的代理，通过代理来连接目标主机。
2.3.3.1. 未设代理测试
这里我们测试一下未设置代理，会发现我们是无法连接内网的机器的。
2.3.3.2. RDP明文连接桌面
这个设置代理应该就不用说了，在CS中设置socks代理即可,不过这里需要注意，当你使用代理去连接桌面的时候，你需要提前知道，当前用户是否有人在使用，否则的话会有提示。
2.3.4. 值连接桌面
使用RDP的hash值连接桌面，可能比较麻烦，这里提前条件太多了，需要开启 Admin Mode，在.1和2012 r2上是默认开启的。
同时想要使用hash值连接远程桌面，不单单是本地要支持 Admin Mode，对端也要支持 Admin Mode 。
所以这里测试的时候，我本地，我没有调试过，我测试了一下，好像是默认开启的，可能低版本的系统应该是都不支持需要修改注册表，而这里就出现了一个问题我们都没有连接上，木马也没有连接上我们如何修改对方的注册表？？？
如果已经上传上去了，可以使用命令修改注册表。
这里关于怎么修改这个注册表我给一些其它文章中提到的，我就不去测试了。
Windows2003REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 00000000 /fWindows2008REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f
2.3.4.1. 支持测试
想要知道支不支持这个hash连接，可以使用命令来进行测试，如果当前系统支持 Admin mode，那么可以直接弹出远程桌面，如果不支持则会弹出远程桌面的参数说明。
mstsc.exe /restrictedadmin
2.3.4.2. 测试连接
这里我们先要获取hash值，这里我获取一下 2012的值，这个获取部分还是之前的那个使用上线的主机去抓取一下密码来获取。
同时这里我们如果在cs中进行连接那么就是调用上线这台主机的远程桌面，而提到过，最好不要在上线主机上进行远程桌面，而是采用代理，所以这里我们也是采用代理的方式来转发。
设置代理我也不想说，直接演示吧，对了本地要下载一个哦，不然不好测试，这里我本来想使用本地测试的，但是我本地的老是出现错误，我就使用另外一台虚拟机进行测试，可以看到是成功连接了。
这里执行命令后会弹出远程桌面的端口，只需要输入IP地址就可以了，不需要输入账号密码。
privilege::debugsekurlsa::pth /user:administrator /domain:192.168.20.1 /ntlm:579da618cfbfa85247acf1f800a280a4 "/run:mstsc.exe /restrictedadmin"
2.4. 总结
RDP连接是我们最熟悉不过的了，但是整体过程中呢，还是不建议使用RDP连接，除非确认当前用户不在线，或者说是一台服务器，因为服务器正常管理员也都是远程桌面过来管理的，所以不会有太多影响，如果是域内个人主机还好，可能还会存在账户，正常登陆的时候都是登陆管理员分配的账户，不过也有时候可能会被管理员直接禁止…
还有一种情况就是个人主机，我记得个人主机再安装系统的时候会让其创建账户，自动赋予管理员权限，默认情况下账户是禁用的状态，个人主机也不会有人开启的，所以可能还需要开启账户。
总之再使用RDP连接的时候，还是需要注意一点的，别把人家踢下线了，那么你不是百分百自投罗网么。