Comment détourner une session RDP à l’aide d’une attaque MitM ?

By | September 18, 2017

Seth est un outil qui réalise des attaques MitM sur les connexions RDP dans le but d’en extraire des informations sensibles telles que les logins et mots de passes, les données personnelles, etc.
Le script réalise un ARP spoofing pour s’intercaler entre la victime et le serveur RDP ciblé. L’outil hacking utilise ensuite un script Python pour créer un serveur socket auquel la victime se connecte et un client socket qui se connectera au serveur RDP réel à la place de la victime.

Seth a été créé pour sensibiliser sur l’importance des connexions RDP proprement configurées.

Pour avoir Seth sur votre système, clonez son repo GitHub:

$ git clone https://github.com/SySS-Research/Seth.git

Voici le menu d’aide de Seth:

Exemple d’utilisation

A l’aide de Seth, lançons une attaque MitM entre la machine 192.168.43.124 (victime) et le serveur 192.168.43.12 (serveur RDP). 192.168.43.123 représente notre adresse IP.

Entre temps, notre victime tente de se connecter au serveur 192.168.43.12…
connexion rdp de la victime

Sur notre terminal, nous remarquons le démarrage du proxy RDP, la création d’un certificat auto-signé, puis l’activation d’une connexion SSL.
mise en place de l'attaque mitm

L’installation du certificat auto-signé malicieux est alors proposée sur la machine de notre victime.
certificat malicieux proposé à la victime

Si notre victime n’inspecte pas le certificat, puis insère ses données de connexion, nous les verrons apparaître sur notre terminal.
données de connexion

Ainsi que toutes les frappes de son clavier.
frappes de clavier

Si vous souhaitez en savoir plus sur cet outil, je vous invite à voir ce document qui décrit l’attaque.

mdestroy

2 thoughts on “Comment détourner une session RDP à l’aide d’une attaque MitM ?

  1. Lidwa

    Bonjour,
    J’essaye de manipuler l’outil SETH et j’aimerais savoir quelle est l’adresse de mon serveur RDP ?

    Merci d’avance

    Lidwa

    Reply
  2. dha-werb

    Bonjour,

    Dans le cadre d’un test pour un projet de sécurité, j’ai essayé, le script ne semble pas fonctionner il ne détecte pas le lancement de la session RDP. Il reste bloqué sur *] Waiting for a SYN packet to the original destination…
    J’ai fais l’essai d’un poste vers un server RDP et d’un poste vers un autre poste. Le résultat est similaire.
    Une idée .

    Cordialement,

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *