https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Demo_bruteforce_rdp_labor 2026-06-29T02:36:09Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Demo_bruteforce_rdp_labor&diff=66057&oldid=prev 2025-12-06T11:26:55Z

<p>Die Seite wurde neu angelegt: „= Demo Bruteforce RDP Labor = Ziel der Übung: Demonstration eines Passwort-Bruteforce-Angriffs auf den Windows-RDP-Dienst. Ziel ist das Verständnis von Aut…“</p> <p><b>Neue Seite</b></p><div>= Demo Bruteforce RDP Labor =<br /> <br /> Ziel der Übung:<br /> Demonstration eines Passwort-Bruteforce-Angriffs auf den Windows-RDP-Dienst. <br /> Ziel ist das Verständnis von Authentifizierungsversuchen, Fehlermeldungen, Logging und der Bedeutung von Passwortsicherheit.<br /> <br /> = Umgebung =<br /> <br /> {| class=&quot;wikitable&quot;<br /> ! Komponente<br /> ! Wert<br /> |-<br /> | Angreifer<br /> | Kali Linux<br /> |-<br /> | Zielsystem<br /> | Windows 10 oder Windows 11<br /> |-<br /> | Dienst<br /> | RDP (Port 3389)<br /> |-<br /> | Benutzer<br /> | testuser<br /> |-<br /> | Ziel-IP<br /> | 10.0.10.104<br /> |}<br /> <br /> = Vorbereitung Windows =<br /> <br /> * Remotedesktop aktivieren: Einstellungen → System → Remotedesktop → Remotedesktop aktivieren<br /> * Benutzer testuser als RDP-Benutzer berechtigen<br /> * Windows-Firewall-Regel „Remotedesktop“ aktiv lassen<br /> * Ereignisanzeige öffnen:<br /> Windows-Protokolle → Sicherheit<br /> * Keine Sperrrichtlinien aktivieren, damit der Angriff sichtbar bleibt<br /> <br /> = Vorbereitung Kali =<br /> <br /> * Passwortliste bereitstellen, z. B. passliste.txt<br /> * Hydra ist bereits vorinstalliert<br /> <br /> Test ob RDP erreichbar ist:<br /> * nmap -p 3389 10.0.10.104<br /> <br /> = Bruteforce Angriff mit Hydra =<br /> <br /> Hydra-Aufruf:<br /> * hydra -l testuser -P passliste.txt rdp://10.0.10.104<br /> <br /> Erwartetes Verhalten:<br /> * Hydra versucht systematisch jede Passwortkombination<br /> * Windows registriert jeden Fehler im Sicherheitslog (Ereignis-ID 4625)<br /> * Bei Erfolg zeigt Hydra:<br /> [3389][rdp] host: 10.0.10.104 login: testuser password: &lt;gefundenes Passwort&gt;<br /> <br /> = Bruteforce Alternative: Ncrack =<br /> <br /> * ncrack -vv --user testuser -P passliste.txt rdp://10.0.10.104<br /> <br /> Ncrack zeigt pro Versuch Timing und Rückmeldungen des RDP-Protokolls.<br /> <br /> = Beobachtungen auf Windows =<br /> <br /> Relevante Ereignisse in der Ereignisanzeige:<br /> * 4625 → Fehlgeschlagene Anmeldung<br /> * 4624 → Erfolgreiche Anmeldung<br /> * 4776 → NTLM-Authentifizierung fehlgeschlagen oder erfolgreich<br /> <br /> Typische Muster:<br /> * schneller Anstieg von 4625-Einträgen<br /> * immer gleiche Ziel-IP<br /> * Fehlermeldung: „Ungültiger Benutzername oder Kennwort“<br /> <br /> = Nachweis, dass der Angriff funktioniert hat =<br /> <br /> * Hydra gibt ein gefundenes Passwort zurück<br /> * Windows-Ereignisanzeige zeigt Ereignis 4624 (logon success)<br /> * RDP-Login ist danach möglich:<br /> mstsc → testuser → gefundenes Passwort<br /> <br /> = Auswertung =<br /> <br /> * RDP ist ohne Schutzmechanismen extrem anfällig für Bruteforce-Angriffe<br /> * Passwortlisten funktionieren besonders schnell bei schwachen Passwörtern<br /> * Ereignisanzeige dokumentiert alle Versuche klar nachvollziehbar<br /> * Account-Lockout ist ein zentraler Schutzmechanismus<br /> * Starke Passwörter und MFA verhindern solche Angriffe effektiv<br /> * RDP darf niemals ungeschützt im Internet betrieben werden</div>

Thomas.will