该实验需要在远程登陆桌面服务的时候把驱动器打开,当RDPinception概念出来的时候,许多人都不以为意,认为没人会在登陆RDP时特意把驱动器打开(默认关闭)。正常情况下确实是这样,但是不谈同时维护多台主机的运维人员,即使是普通用户,当他需要本地与远程主机有频繁文件传输时,打开驱动器选项后通过文件简单地拖拽实现本地与远程主机的文件传输无疑是很方便的,毕竟不用像ftp那样还需要搭建服务器。但是这种行为也是不安全的,可能造成基于rdp服务的访客机递归感染,这篇博客通过实现访客机的递归感染提醒大家正确安全地使用rdp服务。
环境:
win10
win7
kali(openjdk version “11.0.5”)
启动cobalt strike:
实验
win10运行脚本run.vbs
(run.vbs的功能是静默执行run.bat批处理文件)
(run.bat的功能是自我复制实现自启,感染访客机和执行恶意攻击操作)
win10上线
查看win10系统启动文件,run.vbs扩散到本机启动文件夹
注销win10
win7打开驱动器远程连接win10win10再次上线
查看win7启动文件,恶意脚本从win10扩散到win7
注销win7重新登陆
win7上线
实验脚本链接(https://download.csdn.net/download/qq_40334963/12220996)