没有密码会话劫持是如何实现的？

如果攻击者具有本地Windows管理员权限，则可在不知道用户密码的情况下，远程劫持用户的会话。

如果目标用户被锁定在其工作站之外，攻击者可以访问工作站。此操作要求攻击者具有NT AUTHORITY/SYSTEM权限，他可使用whoami命令来查询。同时，攻击者必须设置远程桌面协议才能连接到受害者的机器。

（图片来源于网络）

在会话劫持开始之前，攻击者进入任务管理器的用户选项来查看每个用户账户的状态，任务管理器比命令行更容易获取用户状态。本地管理员账户需要始终处于活跃状态，控制台被分配作为会话名。例如，如果目标用户是银行职员，他去就餐之前停止了会话，则攻击者无法连接到员工的工作站。

在查看任务管理器后，攻击者会打开命令提示符窗口，并输入命令行来完成会话劫持。PsExec命令的参数（或选项）会被恶意更改，受害者的远程会话连接回到攻击者，攻击者返回任务管理器，并恶意访问受害者的会话。当受害者吃完午餐回来时，他不会知道自己已经被劫持。

以色列研究人员Alexander Korznikov在Windows 2012和Windows 2008服务器以及Windows 10和Windows 7测试了这种类型的会话劫持攻击。为了阻止这种类型的会话劫持攻击，应该建立组策略。此策略应该包括防止非特权用户获得本地管理员权限，该策略还应该阻止本地管理员返回用户的远程会话。

Chrome信任认证透明将于2017年10月开始强制实行

看“风水反转”技术如何危害云安全

CISO的自我修养：抛掉那些花哨的安全预算