Seth – это инструмент RDP Man In The Middle, написанный на Python для соединений MiTM RDP, путем попытки понизить соединение для извлечения четких текстовых учетных данных.
Программа была разработана для повышения осведомленности и просвещения о важности правильно настроенных RDP-соединений в контексте пентэстов.
Использование Seth RDP Man для атаки “человек по середине”
Выполните его следующим образом:
# ./seth.sh <INTERFACE> <ATTACKER IP> <VICTIM IP> <GATEWAY IP|HOST IP>
Если хост RDP находится в той же подсети, что и компьютер-жертва, последний IP-адрес должен быть адресом шлюза.
Сценарий выполняет спуфинг ARP, чтобы получить позицию «Человек в середине» и перенаправляет трафик таким образом, что он проходил через прокси RDP. Прокси можно вызвать отдельно:
./rdp-cred-sniffer.py -h usage: rdp-cred-sniffer.py [-h] [-d] [-p LISTEN_PORT] [-b BIND_IP] [-g {0,1,3,11}] -c CERTFILE -k KEYFILE target_host [target_port] RDP credential sniffer -- Adrian Vollmer, SySS GmbH 2017 positional arguments: target_host target host of the RDP service target_port TCP port of the target RDP service (default 3389) optional arguments: -h, --help show this help message and exit -d, --debug show debug information -p LISTEN_PORT, --listen-port LISTEN_PORT TCP port to listen on (default 3389) -b BIND_IP, --bind-ip BIND_IP IP address to bind the fake service to (default all) -g {0,1,3,11}, --downgrade {0,1,3,11} downgrade the authentication protocol to this (default 3) -c CERTFILE, --certfile CERTFILE path to the certificate file -k KEYFILE, --keyfile KEYFILE path to the key file
Требования к Seth RDP MiTM Attack Tool
- python3
- tcpdump
- arpspoof (arpspoof is part of dsniff)
- openssl < 1.1.0f
OpenSSL не должен быть слишком новым, поскольку он не поддерживает более старые версии протокола SSL и, следовательно, может быть несовместим со старой версией клиента Windows RDP.
Вы можете ознакомиться с полным текстом здесь:
Attacking RDP How to Eavesdrop on Poorly Secured RDP Connections
Вы можете скачать Seth для RDP MiTM здесь: