欢迎来到本次关于远程桌面协议 (RDP) 枚举和利用的实践实验。RDP 是管理员用于远程管理 Windows 系统的一种常用协议。然而,当配置不当时,它可能成为一个重大的安全风险。
在本次实验中,你将模拟一个常见的攻击向量:攻击者扫描暴露的 RDP 服务,识别配置弱点,并使用默认或易于猜测的凭据来获取访问权限。你将使用标准的渗透测试工具,如 nmap 进行扫描,以及 xfreerdp 连接到远程会话。你的最终目标是导航被攻破的系统并检索隐藏的 flag。
完成实验后,你将能够:
nmap 扫描和枚举 RDP 服务。xfreerdp 尝试使用弱凭据获取访问权限。让我们开始这次网络安全实践。
在此步骤中,你将执行侦察的第一阶段:确认目标系统在线且可从你的机器访问。ping 命令是一个标准的网络诊断工具,它向主机发送 ICMP 数据包以测试连接性。
你的环境中包含一个可通过主机名 target 访问的目标系统。要验证你是否可以与其通信,请在你的终端中运行以下命令发送四个数据包:
ping -c 4 target你应该会看到类似以下的响应。这证实了目标是活动的,并且你的网络路径是畅通的。IP 地址和响应时间可能会略有不同。
PING target (172.17.0.2) 56(84) bytes of data.
64 bytes from target (172.17.0.2): icmp_seq=1 ttl=64 time=0.105 ms
64 bytes from target (172.17.0.2): icmp_seq=2 ttl=64 time=0.069 ms
64 bytes from target (172.17.0.2): icmp_seq=3 ttl=64 time=0.068 ms
64 bytes from target (172.17.0.2): icmp_seq=4 ttl=64 time=0.067 ms
--- target ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3075ms
rtt min/avg/max/mdev = 0.067/0.077/0.105/0.016 ms在确认连接性后,你已准备好进行更详细的扫描。
在此步骤中,你将使用 nmap 扫描目标开放的端口,并识别其上运行的服务。这是枚举的关键部分,因为它揭示了潜在的攻击面。我们将特别检查 RDP 服务,它通常运行在端口 3389 上。
执行以下 nmap 命令,对端口 3389 (-p 3389) 执行版本扫描 (-sV),并运行一个脚本 (--script) 来检查 RDP 加密级别:
nmap -sV -p 3389 --script rdp-enum-encryption target输出将提供关于 RDP 服务的详细信息。
Starting Nmap 7.80 ( https://nmap.org ) at 2025-09-18 14:51 CST
Nmap scan report for target (172.17.0.2)
Host is up (0.00038s latency).
PORT STATE SERVICE VERSION
3389/tcp open ms-wbt-server xrdp
| rdp-enum-encryption:
| Security layer
| CredSSP (NLA): SUCCESS
| CredSSP with Early User Auth: SUCCESS
| Native RDP: SUCCESS
| RDSTLS: SUCCESS
| SSL: SUCCESS
| RDP Encryption level: High
| 128-bit RC4: SUCCESS
|_ RDP Protocol Version: RDP 5.x, 6.x, 7.x, or 8.x server
Nmap done: 1 IP address (1 host up) scanned in 13.57 seconds从扫描结果中,可以观察到端口 3389/tcp 是开放的,并且运行着 xrdp 服务。虽然加密级别显示为“High”,但主要漏洞在于弱凭据,而非加密弱点。该服务支持多种身份验证方法,我们将在下一步利用弱密码身份验证。
在此步骤中,你将尝试使用 administrator 和 password 这组凭据连接到 RDP 服务。这组凭据是常见的默认值,通常是暴力破解攻击的主要目标。你将使用 xfreerdp,一个适用于 Linux 的命令行 RDP 客户端。
首先,请确保已安装 xfreerdp。设置脚本应该已经处理了这个问题,但如果需要,你可以运行 sudo apt install freerdp2-x11。
现在,执行以下命令连接到 target:
xfreerdp /u:administrator /p:password /v:target/u:administrator: 指定用户名。/p:password: 指定密码。/v:target: 指定服务器地址。你可能会看到一个证书警告,因为目标正在使用自签名证书。这在实验环境中是正常的。输入 yes 并按 Enter 继续。
[11:25:30:789] [INFO][com.freerdp.client.x11] - Please check if the server is running with the correct certificate.
[11:25:30:789] [INFO][com.freerdp.client.x11] - Certificate details:
...
The certificate is not trusted. Do you trust the certificate? (Y/N) yes
成功身份验证后,将打开一个新窗口,显示目标系统的远程桌面。你现在已获得对该机器的图形访问权限。
在此步骤中,你的最终目标是探索远程系统并找到 Flag。这模拟了后渗透阶段,攻击者在此阶段会搜索有价值的数据。
在 RDP 会话窗口中,你将看到一个桌面环境。你有几种方法可以定位和查看 Flag:
方法 1:使用文件管理器
administrator 用户主目录下的 Documents 文件夹:/home/administrator/Documents。flag.txt 的文件。flag.txt 使用文本编辑器(Mousepad)打开它。
方法 2:使用终端
cat /home/administrator/Documents/flag.txt
任一方法都可以显示 Flag 文件的内容。
labex{w34k_p4ssw0rd_rdp_pwn3d}恭喜!你已成功枚举了 RDP 服务,利用了弱密码,并获取了 Flag。
重要提示: 要完成实验验证,你需要复制 Flag 值并将其保存到主机上的一个文件中。在 /home/labex/project 目录中创建一个名为 flag.txt 的文件,并将 Flag 内容粘贴进去。
echo "labex{w34k_p4ssw0rd_rdp_pwn3d}" > /home/labex/project/flag.txt现在你可以关闭 RDP 窗口以断开会话。
在此实验中,你成功地对一个配置错误的远程桌面协议(RDP)服务执行了一次模拟攻击。你完成了渗透测试的关键阶段:
ping 命令确认目标在线。nmap 配合特定脚本,识别出开放的 RDP 端口,并收集了其配置详情,例如弱加密级别。xfreerdp,通过利用 administrator 账户的弱密码和可预测性,成功访问了远程系统。本次练习展示了保护远程访问服务的重要性。将 RDP 暴露在互联网上、使用弱密码或默认凭据,以及采用过时的安全设置,都可能导致严重的漏洞。通过理解这些攻击向量,你将能更好地实施强大的防御措施。
