GetSystemMetrics()在RDP会话上报告错误的鼠标值 - 腾讯云开发者社区

文章/答案/技术大牛

发布

.NET Core 如何判断程序是否在远程桌面(RDP)下运行

SystemInformation.TerminalServerSession 即可返回当前会话是否在远程桌面下。...那么其他类型的 .NET Core 程序如何判断自己是否在 RDP 下运行呢？我们需要 P/Invoke 骚操作。...即 User32.dll 上的 GetSystemMetrics( SM_REMOTESESSION ); 方法文档传送门：https://docs.microsoft.com/en-us/windows...使用 P/Invoke 判断一个 Console 程序是否运行在 RDP 下的代码如下： static void Main(string[] args) { bool isRDP = GetSystemMetrics...NET Core 在 Windows 上会自动去找 dll，在 Linux 上会去找 so （即使 Linux Bing 没有 RDP 这个东西也没有 user32 这个库） ?

3K1 0

CVE-2019-0708 漏洞分析及相关测试

前言在CVE-2019-0708公布后几天就已经尝试过复现该漏洞，但借助当时exp并没能成功复现反弹shell的过程遂放弃，故借助这次漏洞复现报告再来尝试复现该漏洞，因为还在大三学习中，有很多知识还没有掌握...成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。...可以通过显示信息看到，攻击是已经顺利执行了的，并且会话也已经成功建立，但是在恶意进程入驻内核的同时，该会话也被强行终止，退出了控制，这一行为可以在火绒的安全日志中看到 ?...此时在靶机上并无异常，开启安全防护软件，并进行扫描 ? 可以看到在靶机上即便扫描项包含了磁盘与系统进程，但并没有发现正在连接中的exp会话。...，所以可能存在诸多理论上的漏洞或是本质上的错误，故本篇主要用作个人归档与总结报告用途，如果遇到相关问题善用搜索引擎是最大的帮助。

1.8K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

最常见的漏洞有哪些？如何发现存在的漏洞呢

漏洞也叫脆弱性(Vulnerability)，是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。...在目前版本的WindowsXP帮助和支持中心存在漏洞，该漏洞使攻击者可跳过特殊的网页(在打开该网页时，调用错误的函数，并将存在的文件或文件夹的名字作为参数传送)来使上传文件或文件夹的操作失败，随后该网页可在网站上公布...RDP信息泄露并拒绝服务漏洞Windows操作系统通过RDP(RemoteDataProtocol)为客户端提供远程终端会话。...RDP将终端会话的相关硬件信息传送至远程客户端，其漏洞如下所述：①与某些RDP版本的会话加密实现有关的漏洞。...所有RDP实现均允许对RDP会话中的数据进行加密，然而在Windows2000和WindowsXP版本中，纯文本会话数据的校验在发送前并未经过加密，窃听并记录RDP会话的攻击者可对该校验密码分析攻击并覆盖该会话传输

1.6K1 0

远程桌面服务影子 – 超越影子会话

影子会话处于暂停状态还应该注意的是，最新版本的 RDS Shadowing 非常好地支持远程主机上的多显示器设置，即使在每台显示器上开箱即用的分辨率不同。...完全控制还允许在查看会话模式下连接，但为了避免错误指定/control参数的情况，将Shadow值设置为4更安全。...，则会出现以下错误：您尝试连接的会话不存在或者，如果会话存在，但没有人连接到它，或者您没有必要的权限，则会出现以下错误之一：会话存在，但没有人连接到它没有足够的权限来隐藏会话否则，您将被授予权限并打开查看者的窗口...成功建立的镜像连接滥用 StartRCM 和 fDenyChildConnections 注册表项需求部分已经提到，要成功隐藏会话，必须运行远程桌面服务，否则会出现以下错误：此服务器上运行的...远程桌面服务和远程桌面配置服务状态建立 RDP 连接成功建立的 RDP 连接成功建立的镜像连接在第 2 节中，我提到如果用户锁定他们的会话，影子会话将被暂停，但如果用户使用快速用户切换功能在其解锁时直接从他们自己的会话切换到另一个帐户

6.4K4 0

使用Raspberry构建蜜罐捕获BlueKeep攻击

Linux上，我收到了Twisted包的一些错误，我修复了以下命令：＃wget -c https://twistedmatrix.com/Releases/Twisted/19.2/Twisted...记录RDP会话（RSS文件）步骤6：重播使用rdpy-rssplayer.py命令记录的会话，这是入侵者将看到的记录（屏幕）：＃rdpy-rssplayer.py 20190601025837_127.0.0.1...执行rdpy-rdphoneypot.py并记录会话（RSS文件）步骤8：使用nmap检查RDP服务是否在端口3389上侦听Raspberry PI ＃NMAP -F ip ?...运行nmap检查RDP服务是在本地监听步骤9：设置路由器以访问服务3389（远程桌面协议）上的入侵者并使用nmap测试RDP服务是否在端口3389上侦听 ?...使用tcpdump捕获端口3389上的流量数据包分析 Step11 ：安装tcpick，wireshark，bro并执行pcap文件分析（rdp.pcap）＃apt-get install tcpick

1.8K3 0

影响所有Windows版本远程桌面（RDP）应用的CredSSP漏洞分析

，具有完整中间人控制权的攻击者可以利用该漏洞，冒充合法用户在目标服务器上执行任意代码或窃取数据。...攻击在受限管理员模式和正常RDP模式下都能有效实现。由于RDP会话非常普遍，所以对攻击者来说该漏洞非常极具价值。...因为RDP的普通应用，导致这种NTLM中继攻击漏洞会被成功利用，主要步骤如下：能力协商 (通常基于CredSSP环境下) 建立TLS通道使用CredSSP的网络层认证客户端证书验证，错误时会显示验证告警...该漏洞攻击场景中，漏洞程序被执行之后，目标系统远程桌面会话会弹出一个如下的错误告警： ?...（点此查看该漏洞详细技术分析报告，点此观看漏洞分析视频）

3.5K5 0

内网渗透测试：初探远程桌面的安全问题

而这里所讲的特殊的利用方法便是在 SYSTEM 权限下直接执行 tscon 会话切换命令： tscon ID 此时攻击者可以在不提供其他用户登录凭据的情况下自由切换会话桌面，实现劫持其他用户的 RDP...RDP 会话劫持在特定情况下可以大显身手，比如对于较新的 Windows 系统，默认情况下是无法通过 Mimikatz 导出用户明文口令的，此时我们通过常规方法无法切换至另一用户的桌面，那么我们便可以借助上文提到的方法...如果你在电脑上连按五次 shift 键，你就会发现电脑屏幕上弹出了一个叫做“粘滞键”的程序：即使在没有登录进系统之前，连按五次shift键也可以弹出这个程序：思考一下，如果我们知道了这个程序的绝对路径...该漏洞是由于 Windows 在处理某些对象时存在错误，可通过特制的 RDP 报文访问未初始化或已经删除的对象，导致任意代码执行，然后控制系统。下面我们使用 Windows 7 系统进行复现。...DoS 攻击执行者通常攻击托管在诸如银行或信用卡支付网关等高端 Web 服务器上的站点或服务，通过暂时或无限期地中断连接 Internet 的主机服务，使其目标用户无法使用机器或网络资源。

4.6K4 0

深入解析MS12-020关键漏洞CVE-2012-0002：远程桌面协议的安全风险与缓解方案

需注意CVE-2012-0002是通过私下报告披露的，且我们未发现任何野外攻击。此外，远程桌面协议默认处于禁用状态。但由于该漏洞对攻击者的吸引力，我们预计30天内会出现代码执行漏洞利用程序。...但我们强烈建议在启用远程桌面的系统上立即应用更新。...临时解决方案：在Windows Vista及更高版本启用网络级认证（NLA）对于启用RDP的Windows Vista及更高版本系统，可通过启用远程桌面的网络级认证（NLA）来大幅降低风险。...原因是外部用户通过端口443使用RPC over HTTPS封装的RDP连接TS网关。TS网关计算机会移除RDP流量的SSL加密，然后将流量转发到内部网络目标计算机的3389端口。...终端服务会话是与目标计算机建立，而非TS网关系统。使用RemoteFX功能的Windows Server 2008 R2 SP1服务器风险较低。这在虚拟化环境中常见。

3291 0

威胁狩猎系列文章之一到三

此外，很少有公司可以真正区分合法和可疑的 RDP 活动，特别是如果它们依赖事件日志 4624/4625（仅在目标主机上记录日志而非在 DC 上，因此可能没有从所有工作站和服务器收集日志 - >没有生成警报...在这篇报告中，我们将尝试涵盖以下技术：更改默认 RDP tcp 端口以绕过以下两个网络访问控制：阻止到3389端口的入站连接（如果有）以及基于基于 Netflow 网络流量分析数据的检测（其中目标端口为...注意：基于 Netflow 数据和授权/合法 RDP 子网的检测仍然相关如果您希望在不必从许多成员服务器和端点收集登录事件的情况下确定 RDP 活动的基线，那么这是正确的做法。...PsLoggedOn 被黑客用来对用户会话执行正确且有针对性的内部侦察（相比其他内部AD侦察工具更加隐蔽），并且针对其中有趣的会话。...PsExec 最强大的用途包括在远程系统上启动交互式命令提示和 IpConfig 等远程启用工具（查看原本无法获取的有关远程系统的信息）。

2K3 0

在Ubuntu22.04上使用xrdp启用远程桌面协议实现图形化

RDP 采用客户端-服务器模型，其中 RDP 客户端安装在本地计算机上，RDP 服务器安装在远程服务器上。...在本教程中将在 Ubuntu 22.04 服务器上使用 xrdp 安装和配置 RDP 服务器，并使用本地计算机上的 RDP 客户端访问它。...如果提示选择显示管理器，可选择gdm3第 2 步 - 在 Ubuntu 上安装 xrdpxrdp 是 RDP 服务器的开源实现，允许基于 Linux 的服务器建立 RDP 连接。...日志记录定义日志的日志子系统参数。Channels定义了 RDP 支持的多个通道参数。会话类型定义了 xrdp 支持的多种会话类型。...-session在图形登录请求时用作会话管理器。

14.7K3 0

内网横向移动之RDP Session Hijack

RedTeam获得凭据，劫持其他用户的RDP会话，并对远程系统执行任意代码，这些远程系统将使用RDP作为受感染工作站的身份验证机制。...PS:该方法笔者在本地未实验成功，因为有SSL强校验，在实战中建议慎用~ RDP Inception mdsec发现了一种技术，该技术允许攻击者在启动时执行任意代码并通过RDP连接传播，从而在网络内部执行横向移动...RDP登录目标主机时我们可以获得一个高权限的会话，从而间接实现权限提升~ RDP Session Hijacking 如果在目标系统上获得了本地管理员访问权限，攻击者就有可能劫持另一个用户的RDP会话，...，但是在某一个时间段内只能由一个用户操作，所有如果有其他用户想要使用同样的主机，那么当前的用户必须退出登录(log out)会话或者使用Switch user功能切换到另一用户，同时保持他们原有的会话在后端运行...，当新用户登录后我们可以在任务管理模块看到先前用户的Session会话信息依旧存在，例如：该会话信息会等待先前的用户再次使用，我们也可以通过在命令行中执行以下命令来查看当前的会话信息： quser 而

3710 0

红队攻击-对RDP常规操作

1.2 实操在windows中，添加账户名后面加入$符合可以使该用户在命令行中隐藏例如： ? 我这里添加了一个普通用户，但是用net user命令却看不懂此用户。但实际上确实是存在的 ?...RDP会话劫持 2.1 前言在我们拿到主机系统权限时，但是我们没有拿到管理员的凭据，增加用户又动静太大，但是我们通过rdp连接记录发现，管理员3天前（3天之内吧，前提是没有更改组策略设置以使用户断开RDP...会话后立即或短期注销，而是使“断开连接的”远程桌面会话长时间处于休眠状态）通过rdp登陆过此系统，那么我们就可以通过rdp劫持的方式，来“恢复”先前断开的RDP会话，而这种的好处就是攻击者会逃避事件监视器...前提：system权限可以以无凭据的方式在不同的用户会话之间切换 2.3 无密码劫持这里我们利用Windows自带的Tscon.exe程序来进行RDP劫持，Tscon.exe可以使用户可以连接到系统上的其他远程桌面会话...，并且可以进行预登录（在登录屏幕上，通过物理控制台或通过远程桌面）。

2.3K3 0

内网漫游：通过RDP劫持向远程系统执行任意代码

对RDP会话执行此攻击，攻击者将能轻松地获取到可用于内网渗透的域帐户的明文密码。...如果提权用户（管理员或域管理员）尝试通过RDP与已感染的主机进行身份验证，则批处理脚本将会被系统上的其他用户复制。 ? 批处理脚本将会在工作站每次启动时执行，以实现后门持久化。 ?...active Meterpreter sessions列表，将验证攻击者是否可以在两个系统上访问。 ? RDP会话劫持如果攻击者在目标系统上获得本地管理员访问权限，则可能劫持其他用户的RDP会话。...可使用的可用会话列表可以在Windows任务管理器中的“Users“选项卡中查看。 ? 也可以从命令提示符中获取相同的信息。 query user ?...当服务启动时，用户“test”可以在不知道他密码的情况下使用netbiosX的会话。 ? Mimikatz也支持这种技术。第一步是检索终端服务会话列表。 ts::sessions ?

1.5K2 0

横向移动之RDP&Desktop Session Hijack

RedTeam获得凭据，劫持其他用户的RDP会话，并对远程系统执行任意代码，这些远程系统将使用RDP作为受感染工作站的身份验证机制。...PS:该方法笔者在本地未实验成功，因为有SSL强校验，在实战中建议慎用~ RDP Inception mdsec发现了一种技术，该技术允许攻击者在启动时执行任意代码并通过RDP连接传播，从而在网络内部执行横向移动...RDP登录目标主机时我们可以获得一个高权限的会话，从而间接实现权限提升~ ?...RDP Session Hijacking 如果在目标系统上获得了本地管理员访问权限，攻击者就有可能劫持另一个用户的RDP会话，这消除了攻击者发现该用户凭据的需要，这项技术最初是由alexander korznikov...该会话信息会等待先前的用户再次使用，我们也可以通过在命令行中执行以下命令来查看当前的会话信息： quser ?

2K1 0

在 Windows 系统上启用远程应用

在 Windows 系统上启用远程应用需要一个远程桌面 App 进行演示，安装 Windows 远程桌面服务太折腾，需要安装域控制器，再部署一整套的远程服务，太折腾了，如果只是演示的话，没必要那么折腾...本文介绍一种通过修改注册表来启用远程应用的方法，可以用于远程应用演示。在 Windows 上允许远程桌面访问这个没什么好说的，非常简单，在系统属性中设置允许远程连接到此计算机即可。...\Windows\System32\notepad.exe ；可以在 Applications 节点下创建任意多的节点，理论上如果程序没有限制，都可以作为远程应用；编辑 RDP 文件，使用远程应用...现在，双击打开 rdp 文件，就可以自动打开服务器上的记事本程序了。...设置 RDP 超时时间当关闭远程应用时，服务器并不会立刻终止远程会话，因此需要在服务器上设置远程会话超时时间搜索 gpedit.msc ，打开组策略编辑器；依次找到计算机配置 -> 管理模板

4K6 1

内网渗透 | RDP会话劫持实现未授权登录

RDP 会话，该漏洞在 2017 年由以色列安全研究员 Alexander Korznikov 在个人博客中披露。...命令提供了一个切换用户会话的功能，并且，在正常情况下，切换会话时需要提供目标用户的登录密码。...而这里所讲的特殊的利用方法便是在 SYSTEM 权限下直接执行 tscon 会话切换命令： tscon ID 此时攻击者可以在不提供其他用户登录凭据的情况下自由切换会话桌面，实现劫持其他用户的 RDP...执行 sc start rdp 后，我们创建的劫持会话的服务将会启动，由于 Windows 是以 SYSTEM 权限运行服务的，所以我们 tscon 2 命令也会以 SYSTEM 权限运行，此时便可以在不提供目标用户密码的情况下成功劫持目标用户的会话...配合远程桌面辅助功能后门的利用相信你一定知道 Windows 粘滞键后门，如果你在电脑上连按五次 shift 键，你就会发现电脑屏幕上弹出了一个叫做“粘滞键”的程序，即使没有登录进系统： image-

4.9K4 0

通过远程登录无法直接调起qq的快捷登录，使用vnc可以调起qq的自动登录

问题描述：远程登录会话，QQ已登录，然后登录腾讯云控制台时（不限于此，只要是QQ网页快捷登录的应用）无法调起qq的快捷登录，但是直接从控制台VNC进入系统打开网页是可以调起qq的快捷登录的QQ有个远程协助功能...，远程协助的时候，电脑上的浏览器也没法调起qq的快捷登录结合mstsc远程、QQ远程协助两种情况下都不能调起qq的快捷登录的实际情况看，qq的快捷登录不适用rdp协议远程方案很多，不一定都要走rdp协议...总之，在rdp协议的登录会话里，QQ快捷登录不起作用，在vnc协议的登录会话里，QQ快捷登录起作用。...深层原因跟软件本身对windows会话的兼容性有关比如，windows的rdp协议与CCID协议的Ukey证书存在冲突导致tokemgr无法加载，但与HID协议的Ukey证书是可以正常加载的如果要兼容所有...transactId=374389&sysid=13即便通过vnc会话，不报错地安装了中国商标网证书助手，你rdp远程到机器还是会报这个错。图片图片

4.8K3 0

经验总结 | CS与MSF之间的会话传递

与 Metasploit Framework 在很多地方都是兼容的，所以我们便可以将 Metasploit Framework 攻击产生的会话传递到 Cobalt Strike 上，同样的 Cobalt...，这里使用的是 HTTPS Beacon 4、最后，在 Metasploit Framework 上调用 exploit/windows/local/payload_inject 模块 5、在该模块上配置与...Framework 上所监听的 IP 和端口 7、接着在 Cobalt Strike 上右击选择要传递的会话，找到 Spawn 选项，选择刚刚创建的监听器即可环境信息：攻击 IP：192.168.175.200...3、开始会话传递在 Cobalt Strike 上先创建一个 Foreign HTTP 监听，IP 和端口设置成上面 Metasploit Framework 所设置 handler 模块的端口和...之后在 Cobalt Strike 上右击待传递的会话选择 Spawn ，选择刚刚创建的 Foreign HTTP 监听 ?

4.2K5 0

横向渗透之

="") CALL SetAllowTSConnections 1 # 需要输入远程机器上管理员密码二、RDP 用户登录前 1..../seth.sh eth0 10.0.0.2(myip) 10.0.0.3(client) 10.0.0.1(server) # 在10.0.0.2机器上，劫持由10.0.0.3向10.0.0.1的RDP...Windows上用户hash 登录（1） mstsc.exe Server需要开启 Restricted Admin mode，在Windows 8.1Windows Server 2012...name="Remote Desktop" protocol=TCP dir=in l ocalport=3389 action=allow PS3：如果出现远程连接出现身份验证错误，要求的函数不支持，...-u # 卸载（4）SharpDoor：仅使用于Win 10 开启多会话RDP 五、RDP 服务器反打客户端需要客户端RDP链接时，开启磁盘共享（将本地磁盘挂在到服务器上）才能正常利用 ?

3K1 0

一次渗透实战记录

0X01实战过程记录首先我原本复现的漏洞，是早些时候网络上的黑阔用来日另外一批黑阔的肉鸡控制器所用的，就是所谓的黑吃黑。...尝试登录，会发现出现如下错误 ? ?...大概意思就是”发生系统错误 1312。指定的登录会话不存在。可能已被终止。...但是在没拿下之前，我让表哥试试能不能拿下，后来我们几乎在同一时间拿下。但是，表哥是通过远程桌面会话劫持（RDP hijacking ）来进入主机的。...我去，这是啥骚操作，赶紧google一下，发现这篇文章写的不错RDP hijacking(有墙)。大家都知道，在windows中如果你知道另一个已登录用户的密码，就可以通过认证后切换成该用户。

1.7K2 0

点击加载更多

.NET Core 如何判断程序是否在远程桌面(RDP)下运行

CVE-2019-0708 漏洞分析及相关测试

最常见的漏洞有哪些？如何发现存在的漏洞呢

远程桌面服务影子 – 超越影子会话

使用Raspberry构建蜜罐捕获BlueKeep攻击

影响所有Windows版本远程桌面（RDP）应用的CredSSP漏洞分析

内网渗透测试：初探远程桌面的安全问题

深入解析MS12-020关键漏洞CVE-2012-0002：远程桌面协议的安全风险与缓解方案

威胁狩猎系列文章之一到三

在Ubuntu22.04上使用xrdp启用远程桌面协议实现图形化

内网横向移动之RDP Session Hijack

红队攻击-对RDP常规操作

内网漫游：通过RDP劫持向远程系统执行任意代码

横向移动之RDP&Desktop Session Hijack

在 Windows 系统上启用远程应用

内网渗透 | RDP会话劫持实现未授权登录

通过远程登录无法直接调起qq的快捷登录，使用vnc可以调起qq的自动登录

经验总结 | CS与MSF之间的会话传递

横向渗透之

一次渗透实战记录

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐