Seth - Man-in-the-Middle attack to RDP session and view credential in clear text

robinhood

W-------
16/02/2016
13
25 bài viết
Seth - Man-in-the-Middle attack to RDP session and view credential in clear text
Hôm nay mình muốn giới thiệu các bạn một tool tên là Seth. Tool này được giới thiệu bởi Adrian Vollmer ở Black Hat USA 2017 mà mình vừa tham dự.

Concept:
1. ARP spoofing để thực hiện MitM attack vào communication giữa RDP server và RDP client
2. Downgrade authentication option từ 11 xuống 3 (để có thể decrypt)
3. Listen to the RDP connection, bao gồm cả credential và keystroke.

GitHub repo:
https://github.com/SySS-Research/Seth

All credits go to the creator, such a smart man I had a chance to talk to.

Video tutorial
 
Chỉnh sửa lần cuối:
Trên Windows 10 mình thử ok, nhưng Win7 thì báo " TLS alert internal error received, make sure to use RC4-SHA"
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hôm nay mình muốn giới thiệu các bạn một tool tên là Seth. Tool này được giới thiệu bởi Adrian Vollmer ở Black Hat USA 2017 mà mình vừa tham dự.

Concept:
1. ARP spoofing để thực hiện MitM attack vào communication giữa RDP server và RDP client
2. Downgrade authentication option từ 11 xuống 3 (để có thể decrypt)
3. Listen to the RDP connection, bao gồm cả credential và keystroke.

GitHub repo:
https://github.com/SySS-Research/Seth

All credits go to the creator, such a smart man I had a chance to talk to.

Video tutorial
Anh cho em hỏi anh tham dự bằng cách nào ạ >
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Trên Windows 10 mình thử ok, nhưng Win7 thì báo " TLS alert internal error received, make sure to use RC4-SHA"
Cái này tuỳ thuộc vào setting của RDP server. Nếu mà domain enforce Network Layer Authentication (NLA) thì phần trăm thành công là không cao.

Anh cho em hỏi anh tham dự bằng cách nào ạ >
Công ty mình làm trả tiền cho mình đi :D. Giá ExpoPass (thấp nhât) thì khoảng gần $600. Còn nếu bạn trả tiền để tham gia thêm các khoá học nữa thì có thể lên đến $2000. Có một cách khác để tham dự là bạn có thể viết tool (bất cứ loại tool gì chứ không cần phải là hacking tool) và gửi đến Black Hat. Nếu tool của bạn được duyệt thì bạn có thể được mời đến để thuyết trình trong phần Arsenal. Nếu hay hơn nữa thì có thể dùng 1 cái research nào đó của bạn về security mà chưa ai nghĩ ra để thuyết trình trong phần briefing. Cá nhân mình thấy viết tool hoặc xin công ty tài trợ đi là dễ nhất :D
 
Comment
Cái này tuỳ thuộc vào setting của RDP server. Nếu mà domain enforce Network Layer Authentication (NLA) thì phần trăm thành công là không cao.


Công ty mình làm trả tiền cho mình đi :D. Giá ExpoPass (thấp nhât) thì khoảng gần $600. Còn nếu bạn trả tiền để tham gia thêm các khoá học nữa thì có thể lên đến $2000. Có một cách khác để tham dự là bạn có thể viết tool (bất cứ loại tool gì chứ không cần phải là hacking tool) và gửi đến Black Hat. Nếu tool của bạn được duyệt thì bạn có thể được mời đến để thuyết trình trong phần Arsenal. Nếu hay hơn nữa thì có thể dùng 1 cái research nào đó của bạn về security mà chưa ai nghĩ ra để thuyết trình trong phần briefing. Cá nhân mình thấy viết tool hoặc xin công ty tài trợ đi là dễ nhất :D
Mình gửi qua email ak anh !
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình gửi qua email ak anh !
Bạn có thể vào website của Black Hat và subscribe vào email list. Khi gần tới lúc tuyển bài thì sẽ có thông báo. Thêm nữa, ngoài Black Hat USA, bạn có thể xem thử Black Hat Asia. Có lẽ gần hơn và dễ đi hơn Mỹ. Black Hat và DefCon là 1 cyber security conference mà mình nghĩ ai làm security cũng nên đi nếu có điều kiện. Rất nhiều thông tin hữu ích cho mọi level.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn có thể vào website của Black Hat và subscribe vào email list. Khi gần tới lúc tuyển bài thì sẽ có thông báo. Thêm nữa, ngoài Black Hat USA, bạn có thể xem thử Black Hat Asia. Có lẽ gần hơn và dễ đi hơn Mỹ. Black Hat và DefCon là 1 cyber security conference mà mình nghĩ ai làm security cũng nên đi nếu có điều kiện. Rất nhiều thông tin hữu ích cho mọi level.
Cảm ơn bạn nhiều ,
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên