使用rdpproxy和rdpy对RDP进行中间人攻击的总结

一、总述

    本文是想通过分析对RDP协议进行协议还原，在总述这章描述了本次分析后对RDP协议还原的可行性；在第二、三章节描述了RDP协议交互的具体过程；在第四章节描述了使用中间人攻击的方法进行解密的可行性测试；在第五章节列出了本次分析过程中参考的相关资料。

1.分析目的

通过分析能够对使用RDP协议的远程控制工具的操作进行还原，比如：在远程过程中对远程桌面的文件进行传输。

2.分析方法

本文分别使用了两种方法进行分析：1）对远程桌面过程中产生的流量报文进行分析，在分析过程中发现RDP协议在建立连接时使用了加密技术，加密后的报文是看不出来的，因此采用第二种方法；2）采用中间人攻击的方法，试图对加密的报文进行解密，然后再使用第一种方法进行分析；

3.中间人工具的选择

在使用中间人攻击时选择了两个工具：rdpy和rdpproxy。

选择这两个工具的原因是它们都是有源代码的，rdpy使用的是Python语言，而rdpproxy使用的是C语言。

4.分析结论

4.1 rdpproxy测试结论

该工具已不能进行中间人攻击，在进行中间人攻击时会报错误提示：“数据加密错误”。

4.2 rdpy测试结论

可成功进行中间人攻击，该工具还能回放在远程过程中的所用操作，也就是说使用该工具是对RDP可以进行解密的。不过有时还会出现像rdpproxy时的错误提示：“数据加密错误”，导致无法远程服务器。

4.3 分析结论

通过以上的方法我们可以得到如下结论：可以使用RDPY工具对RDP协议的加密层进行解密（不是每次都能成功）。主要问题在于RDPY是使用python语言编写的，而我们是要用C语言去编写，因此我们需要把python语言翻译成C语言后才能对其进间解密，这个工程是很大的，需要大量的工作量，且这个工具还不是每次都可以攻击成功，因此能否使用这个工具进行下一步工作还需要进一步的商讨。

二、协议交互概述

特别说明：RDP从连立到结束始终是一条流,在整个连接阶段，RDP协议采用TPKT协议进行封装并传输数据。

根据我们当前抓包分析情况是这样的:

1.先进行TCP三次握手连接,成功之后进入下一步。

2.客户端首先发送ISO层连接请求（ISO层连接在TPKT协议之上）

3.服务器收到后发送ISO连接确认

4.确认后的TPKT的数据部分全部是SSL加密，已无法看到后面的协议交互过程

 

网上搜集的资源关于RDP交互过程如下(来源于CSDN博客)：

1.客户端连接服务器

2.ISO数据层建立连接

3.发送初始协议相关信息，接收加密、解密密钥(此部分应该就是我们自已分析时的SSL加密部分)

4.虚拟通道申请

5.加密形式发送客户端系统信息，同时验证加密协议

6.平台软件证书验证

7.各功能建立连接，各功能数据传输，功能实现

 

三、协议连立具体过程

1.当前报文整体交互过程

如下图

2.三次握手后进行ISO层连接请求

TPKT下面分别是版本、保留字段和长度

ISO请求连接前2个分别是长度和TPDU类型，0x0e代表请求,0xd0代表请求确认，下图是确认的报文：

3. TPKT数据部分使用了SSL加密,根据16进制特征判断为SSL

4.使用如下方法可以把这部分数据解成SSL协议

1)右键点击Decode as

 


 

2)在右边找到SSL协议，点击确定

 


3)软件就可以直接看到数据部分已解成SSL协议的了

四、RDP中间人攻击方法

目前通过查找资料，获得了两种可对RDP进行中间人攻击的工具，即：rdpproxy和rdpy。这两个工具都是开源的，只是开发语言不同，rdpproxy是用C语言编写的，而rdpy是使用python编写的。下面分别简绍这两种工具的使用方法：

1. 使用rdpproxy进行中间人攻击

这个工具在网上非常难找，rdpproxy有两个版本，windows版本和linux（目前看只能在ubuntu系统可用）。其中windows版本已不能使用，本次介绍的是ubuntu版本的使用方法。但必须要说明的是这个工具也不能进行中间人攻击了。

1.1  rdpproxy工具下载

目前在网上这个工具都是要积分下载的，而积分都是要充钱的，因此就不提供网址了，自已搜吧。

1.2  rdesktop工具使用

编译rdesktop工具

如上图，解压后会有个rdesktop目录，这是一个开源的远程桌面工具，它的主要作用是远程windows系统桌面，rdesktop目录内的代码是需要编译的，编译方法：./configure、make、make install

Rdesktop的使用方法

./rdesktop 远程IP地址，比如：./rdesktop 192.168.1.100 回车，然后直接输用户名和密码即可远程操作。

1.3  rdpproxy所用到的环境

1台ubuntu系统主机，该机器用于中间人攻击使用，同时该主机需要安装Python，我的Python版本是2.7.3

2台windows系统主机，1台作为客户机，另1台作为服务器，组网如图：

1.4  使用rdpproxy进行中间人攻击(攻击失败)

1.定位到rdpproxy目录

2.进行rdpplayer目录

3.执行Python脚本(rpp.py)，监听服务器：pythonrpp.py 目标服务器IP，如：python rpp.py 192.168.1.200

4.此时客户端认为ubuntu为服务器，使用windows自带的远程工具远程ubuntu的ip，远程后发现不能远程目标服务器，且报错如下图：



5.中间人攻击失败

2. 使用rdpy进行中间人攻击

RDPY一个单纯由Python实现的微软远程桌面协议。RDPY由网络引擎Twisted驱动，即RDPY是基于Twisted Python实现的微软RDP远程桌面协议。RDPY支持标准的RDP安全协议，通过SSL或者NLA加密验证（或者通过nltmv2验证协议）。

注：使用rdpy工具是可以成功进行中间人攻击的,但有时在登录成功后不久后，也会出现“加密数据错误，请重新登录”的问题。

2.1 rdpy工具下载与安装

一、RDPY的安装

      RDPY的下载地址：https://github.com/citronneur/rdpy，建议可以使用pip进行安装，比较方便。下面介绍我的安装过程，系统环境windows7，python2.7.

1、安装 PyQt:PyQt的下载地址：http://sourceforge.net/projects/pyqt/files/PyQt4/PyQt-4.11.3/，选择32位或者64位的安装包。

2、安装pywin32，下载地址：http://sourceforge.net/projects/pywin32/files/pywin32/，选择需要的版本。

3、安装RDPY:这里利用easy_install、pip进行安装。

easy_install: https://bitbucket.org/pypa/setuptools/raw/bootstrap/ez_setup.py，下载后，python.exeez_setup.py进行安装。

安装pip:C:\Python27\Scripts\easy_install.exepip。安装完成后，在C:\Python27\Scripts\下有pip.exe文件。

运行pip installrdpy,如果没有提示什么错误，表示安装成功。

2.2 rdpy工具的使用介绍

在安装完rdpy工具后，你的Python目录的scripts下会多出几个rdpy的脚本，如下：



这里每一个文件都有不同的作用：

rdpy-rdpclient

rdpy-rdpclient是一个简单的RDP Qt4客户端。

1	$ rdpy-rdpclient.py [-u username] [-p password] [-d domain] [-r rss_ouput_file] [...] XXX.XXX.XXX.XXX[:3389]

你可以在会话场景记录时使用rdpy-rdpclient。

 

rdpy-vncclient

rdpy-vncclient是一个简单的VNC Qt4客户端。

1	$ rdpy-vncclient.py [-p password] XXX.XXX.XXX.XXX[:5900]

 

rdpy-rdpscreenshot

rdpy-rdpscreenshot将登陆画面保存在文件中。

1	$ rdpy-rdpscreenshot.py [-w width] [-l height] [-o output_file_path] XXX.XXX.XXX.XXX[:3389]

 

rdpy-vncscreenshot

rdpy-vncscreenshot会将程序第一个界面更新至文件中。

1	$ rdpy-vncscreenshot.py [-p password] [-o output_file_path] XXX.XXX.XXX.XXX[:5900]

 

rdpy-rdpmitm

rdpy-rdpmitm是一个RDP代理，它允许你在RDP协议之上执行一次中间人攻击，并将会话场景信息记录在一个可以被rdpy-rssplayer重放的rss文件中。

1	$ rdpy-rdpmitm.py -o output_dir [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] [-r (for XP or server 2003 client)] target_host[:target_port]

输出目录是用来以（YYYYMMDDHHMMSS_ip_index.rss）这种格式保存rss文件的。私钥文件和证书文件是典型的SSL链接加密文件。RDP远程桌面协议能够与其自身的安全层次进行对话，如果两个参数都被省略了，服务器端将会使用标准的RDP协议作为安全分层。

 

rdpy-rdphoneypot

rdpy-rdphoneypot是一个基于RDP的蜜罐。使用会话场景记录并通过RDP协议来重放会话场景。

1	$ rdpy-rdphoneypot.py [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] rss_file_path_1 ... rss_file_path_N

 

rdpy-rssplayer

rdpy-rssplayer是用来重放由rdpy-rdpmitm或者rdpy-rdpclient二进制文件所产生的会话场景记录（rss）文件。

1	$ rdpy-rssplayer.py rss_file_path

2.3 rdpy所用到的环境

3台windows系统主机，1台作为客户机，1台作为服务器，另1台是装有rdpy工具的中间人攻击主机，组网如图：

2.4 使用rdpy进行中间人攻击(攻击成功)

1.定位到rdpy脚本处，执行监听命令: rdpy-rdpmitm.py –oc:/rdpy[h1] 192.168.1.200[h2] 

2.此时客户机会认为中间人攻击主机是服务器，服务器认为中间人攻击主机是客户机

3.客户机使用windows自带远程工具进行远程：远程ip是中间人攻击的主机IP，但实际上客户机远程后的桌面是服务器的桌面。

4.中间人攻击主机停止监听后，会在c:/rdpy目录下生成.rss文件，该文件可使用rdpy-rssplayer.py文件进行回放，回放中可以收看客户机远程的全部操作过程

注：使用rdpy监听过程中，客户机可成功登录服务器，但有时在登录成功后不久后，也会出现“加密数据错误，请重新登录”的问题。

五、协议分析的参考资料

1.wiki.wireshark 官方对RDP协议的分析：https://wiki.wireshark.org/RDP

2.微软官方网址简单说明了RDP协议过程

https://support.microsoft.com/zh-cn/kb/186607

3.RDP采用的RSA加密算法

https://msdn.microsoft.com/en-us/library/aa383015(VS.85).aspx

4.豆丁网提供的RDP协议格式详解

http://www.docin.com/p-641511813.html

5.CSDN博客，关于RDP协议详细解析

http://blog.csdn.net/jingwen3699/article/details/7765480

6.较详细的说明了rdpy工具的安装与使用方法
https://github.com/citronneur/rdpy
7.在第3章节中说明了使用rdpproxy的方法
http://www.docin.com/p-782713242.html
 [h1]监听过程中产生的回放文件输出的目录

 [h2]监听的目标服务器IP