Demo bruteforce rdp labor

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Demo Bruteforce RDP Labor

Ziel der Übung: Demonstration eines Passwort-Bruteforce-Angriffs auf den Windows-RDP-Dienst. Ziel ist das Verständnis von Authentifizierungsversuchen, Fehlermeldungen, Logging und der Bedeutung von Passwortsicherheit.

Umgebung

Komponente Wert
Angreifer Kali Linux
Zielsystem Windows 10 oder Windows 11
Dienst RDP (Port 3389)
Benutzer testuser
Ziel-IP 10.0.10.104

Vorbereitung Windows

  • Remotedesktop aktivieren: Einstellungen → System → Remotedesktop → Remotedesktop aktivieren
  • Benutzer testuser als RDP-Benutzer berechtigen
  • Windows-Firewall-Regel „Remotedesktop“ aktiv lassen
  • Ereignisanzeige öffnen:
 Windows-Protokolle → Sicherheit
  • Keine Sperrrichtlinien aktivieren, damit der Angriff sichtbar bleibt

Vorbereitung Kali

  • Passwortliste bereitstellen, z. B. passliste.txt
  • Hydra ist bereits vorinstalliert

Test ob RDP erreichbar ist:

  • nmap -p 3389 10.0.10.104

Bruteforce Angriff mit Hydra

Hydra-Aufruf:

  • hydra -l testuser -P passliste.txt rdp://10.0.10.104

Erwartetes Verhalten:

  • Hydra versucht systematisch jede Passwortkombination
  • Windows registriert jeden Fehler im Sicherheitslog (Ereignis-ID 4625)
  • Bei Erfolg zeigt Hydra:
 [3389][rdp] host: 10.0.10.104   login: testuser   password: <gefundenes Passwort>

Bruteforce Alternative: Ncrack

  • ncrack -vv --user testuser -P passliste.txt rdp://10.0.10.104

Ncrack zeigt pro Versuch Timing und Rückmeldungen des RDP-Protokolls.

Beobachtungen auf Windows

Relevante Ereignisse in der Ereignisanzeige:

  • 4625 → Fehlgeschlagene Anmeldung
  • 4624 → Erfolgreiche Anmeldung
  • 4776 → NTLM-Authentifizierung fehlgeschlagen oder erfolgreich

Typische Muster:

  • schneller Anstieg von 4625-Einträgen
  • immer gleiche Ziel-IP
  • Fehlermeldung: „Ungültiger Benutzername oder Kennwort“

Nachweis, dass der Angriff funktioniert hat

  • Hydra gibt ein gefundenes Passwort zurück
  • Windows-Ereignisanzeige zeigt Ereignis 4624 (logon success)
  • RDP-Login ist danach möglich:
 mstsc → testuser → gefundenes Passwort

Auswertung

  • RDP ist ohne Schutzmechanismen extrem anfällig für Bruteforce-Angriffe
  • Passwortlisten funktionieren besonders schnell bei schwachen Passwörtern
  • Ereignisanzeige dokumentiert alle Versuche klar nachvollziehbar
  • Account-Lockout ist ein zentraler Schutzmechanismus
  • Starke Passwörter und MFA verhindern solche Angriffe effektiv
  • RDP darf niemals ungeschützt im Internet betrieben werden
Abgerufen von „http://wiki.ixheim.de/index.php?title=Demo_bruteforce_rdp_labor&oldid=66057