[发明专利]一种基于RDP协议分析获取目标设备信息的方法

说明书

本发明涉及一种基于RDP协议分析获取目标设备信息的方法，所述方法包括：步骤1、本地主机通过网络向目标主机发送Client Hello消息，用于发起TLS连接握手；步骤2、目标主机接收到Client Hello消息之后，响应于Client Hello消息，表示自己同意建立TLS连接握手，接着再响应Certificate消息；步骤3、本地主机接收所述Certificate消息，根据消息格式从中提取TLS证书信息；步骤4、本地主机和目标主机之间建立TLS连接；步骤5、本地主机发送Cred SSP认证请求到目标主机，用于触发目标主机响应NTLMSSP Challenge消息；步骤6、目标主机接收到Cred SSP认证请求后，响应NTLMSSP Challenge消息；步骤7、本地主机解析NTLMSSP Challenge消息并从中获取目标设备信息。

技术领域

本发明涉及计算机和通信领域，尤其是一种基于RDP协议分析获取目标设备信息的方法。

背景技术

RDP(可靠传输协议)协议分析的基本方式是尝试对目标端口建立TCP三次握手连接，如果连接能建立，说明目标端口开放。判断端口是开放的后，再尝试建立TLS(安全传输协议)连接，交换密钥，接着再基于TLS层封装TPKT(应用程数据传输协议)探测包发送给目标端口，如果目标响应的TLS数据可解密且解密后的数据为TPKT数据格式，则说明该端口运行着RDP服务。

上述这种端口探测方式是后续深入分析的基础，它仅仅能探测端口是否开放，端口服务是否是RDP服务。在这个基础上，一些网络空间搜索引擎或扫描器会再进一步分析，主要在这两方面：

一是在建立TLS连接时，提取TLS证书信息，包括证书序列号、证书签发者和证书主体等信息。默认情况下，Windows自带的RDP服务使用自动生成的证书，且该证书的主体名对应的就是主机名。

二是尝试模拟正常的RDP连接，获取目标端口返回的桌面图形化数据流，解析并实现截图功能，并通过图片文本识别，判断目标操作系统信息。但这种方式比较粗糙。

通过截图获取RDP登录主页面，再通过图像文本识别判断目标设备信息的方式，比较低效，容易在图像识别这一步出现识别错误。另外如果RDP服务器开启了CredSSP，是不支持登录页面截图的，这样便获取不到目标设备信息。

发明内容

为了解决上述技术问题，本发明提出一种基于RDP协议分析获取目标设备信息的方法，在协议识别时充分地深入，与目标端口进行深入交互，获取更多的目标设备信息，包括但不限于操作系统，软件信息，版本信息等，通过收集到足够多的信息，实现对目标完整的认识，为后续安全渗透测试提供足够且准确的依据。

本发明的技术方案为：一种基于RDP协议分析获取目标设备信息的方法，包括：

步骤1、本地主机通过网络向目标主机发送Client Hello消息，用于发起TLS连接握手；

步骤2、目标主机接收到Client Hello消息之后，响应于Client Hello消息，表示自己同意建立TLS连接握手，接着再响应Certificate消息；

步骤3、本地主机接收所述Certificate消息，根据消息格式从中提取TLS证书信息；

步骤4、本地主机和目标主机之间建立TLS连接；

步骤5、本地主机发送Cred SSP认证请求到目标主机，用于触发目标主机响应NTLMSSP Challenge消息；

步骤6、目标主机接收到Cred SSP认证请求后，响应NTLMSSP Challenge消息；

步骤7、本地主机解析NTLMSSP Challenge消息并从中获取目标设备信息。