Puerto 3389: RDP
RDP (Remote Desktop Protocol) es un protocolo propietario desarrollado por Microsoft que permite a los usuarios conectarse a otro equipo a través de una red mediante una interfaz gráfica. RDP opera sobre el puerto 3389 y se utiliza comúnmente para la administración remota de sistemas Windows.
Descripción de RDP
Protocolo: RDP es un protocolo de capa de aplicación que proporciona una interfaz gráfica para el usuario. Opera sobre TCP y UDP en el puerto 3389.
Funcionalidad: Permite a los usuarios ver y controlar un escritorio remoto, transferir archivos, y realizar tareas administrativas de forma remota.
Cifrado: RDP soporta varios niveles de cifrado para proteger los datos transmitidos entre el cliente y el servidor.
Autenticación: Utiliza métodos de autenticación que incluyen credenciales de usuario y autenticación de red (NLA).
Relevancia en Pentesting
Importancia de RDP en Pentesting:
Acceso Remoto: RDP proporciona acceso total a un sistema, lo que significa que comprometer un servicio RDP puede dar al atacante control completo sobre el equipo.
Vulnerabilidades: RDP ha sido objetivo de numerosas vulnerabilidades y exploits, incluyendo vulnerabilidades críticas como BlueKeep (CVE-2019-0708).
Brute Force y Enumeración: Los servicios RDP son a menudo objetivo de ataques de fuerza bruta y enumeración de usuarios, especialmente si están expuestos a Internet sin medidas de protección adecuadas.
Detección y Prevención: Evaluar y asegurar los servicios RDP es crucial para prevenir accesos no autorizados y proteger la infraestructura de red.
Ejemplo de Escaneo de RDP con Nmap
Para identificar servidores RDP activos y verificar posibles vulnerabilidades, se puede utilizar Nmap con scripts NSE específicos.
Comando Nmap
Explicación del Comando
nmap: Ejecuta el comando Nmap.-p 3389: Especifica que Nmap debe escanear el puerto 3389, el puerto predeterminado para RDP.--script rdp-enum-encryption,rdp-vuln-ms12-020,rdp-ntlm-info: Utiliza scripts NSE para detectar configuraciones y vulnerabilidades en el servicio RDP.rdp-enum-encryption: Enumera los métodos de cifrado soportados por el servidor RDP.rdp-vuln-ms12-020: Detecta la vulnerabilidad MS12-020 en el servidor RDP.rdp-ntlm-info: Recupera información de NTLM del servidor RDP.
target-ip: Especifica la dirección IP del objetivo.
Ejemplo de Salida de Nmap
Interpretación de la Salida
Host is up: Indica que el sistema objetivo está en línea y responde.
3389/tcp open ms-wbt-server: El puerto 3389 está abierto y el servicio RDP (Microsoft Terminal Services) está activo.
rdp-enum-encryption: Enumera los métodos de cifrado soportados por el servidor RDP.
CredSSP (NLA): Éxito, indicando que el servidor soporta CredSSP con autenticación de red.
TLS con NTLMv2: Éxito, indicando soporte para cifrado TLS con autenticación NTLMv2.
RDP Standard Security: Fallo, indicando que el servidor no soporta el cifrado estándar de RDP.
Encryption Level: Cliente compatible.
Encryption Methods: Métodos de cifrado soportados (128-bit RC4, 56-bit RC4, 40-bit RC4).
rdp-vuln-ms12-020: Detecta la vulnerabilidad MS12-020, que permite ataques de denegación de servicio en RDP.
Estado: Vulnerable.
CVE: CVE-2012-0002.
Factor de riesgo: Alto.
rdp-ntlm-info: Recupera información NTLM del servidor RDP.
Target Name: EXAMPLE.
NetBIOS Domain Name: EXAMPLE.
NetBIOS Computer Name: SERVER.
DNS Domain Name: example.local.
DNS Computer Name: server.example.local.
Forest DNS Name: example.local.
Última actualización
¿Te fue útil?