内网渗透测试：获取远程桌面连接记录与 RDP 凭据

系列文章：

《内网渗透测试：初探远程桌面的安全问题》

《内网渗透测试：登录远程桌面的别样姿势》

《内网渗透测试：基于文件传输的 RDP
反向攻击》

前言

Windows 远程桌面是用于管理 Windows
服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面，攻击者也喜欢使用（狗头）。在之前的文章中我们已经介绍了很多攻击远程桌面的方法，本篇文章我们继续来探究。

在渗透测试中，RDP
远程桌面连接的历史记录不可忽视，根据历史连接记录我们往往能够定位出关键的服务器。并且，当我们发现了某台主机上存在远程桌面的连接记录，我们还可以想办法获取其远程桌面登录历史的连接凭据。用于登录
RDP 远程桌面会话的凭据通常具有特权，这使它们成为红队操作期间的完美目标。

获取 RDP 远程桌面连接记录

获取 RDP 远程桌面的连接记录我们可以通过枚举注册表完成，但是如果想要获得所有用户的历史记录，需要逐个获得用户的 NTUSER.DAT
文件，通过注册表加载配置单元，导入用户配置信息，再进行枚举才能够实现。

导出当前用户的历史记录

可以通过枚举下面的注册表键值查看当前用户的历史记录：

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers

如下图所示，每个注册表项保存连接的服务器地址，其中的键值UsernameHint对应登录用户名：

看也可以通过 PowerShell 命令行来实现，首先通过以下命令枚举指定注册表项下所有的的子项，即当前用户所连接过的所有的主机名：

dir "Registry::HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" -Name

然后使用以下命令查询指定注册表项的注册表键值，即查看连接所使用的用户名：

(Get-ItemProperty -Path "Registry::HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\192.168.93.30").UsernameHint

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WY71xou1-1690337260455)(https://image.3001.net/images/20210714/1626198932_60edd39469269f4b834ee.png!small)]

下面给出一个三好学生写的枚举脚本：

$RegPath = "Registry::HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\"  
$QueryPath = dir $RegPath -Name  
foreach($Name in $QueryPath)  
{     
Try    
{    
$User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop | Out-Null).UsernameHint  
Write-Host "Server:"$Name  
Write-Host "User:"$User"`n"  
}  
Catch    
{  
Write-Host "No RDP Connections History"  
}  
}

导出已登录用户的历史记录

已登录用户的注册表信息会同步保存在HKEY_USERS\<SID>目录下，<SID>要对应每个用户的 SID：

可以看到，当前系统登录三个用户，分别有三个子项。我们可以通过枚举注册表键值HKEY_USERS\SID\Software\Microsoft\Terminal Server Client\Servers就能够获得已登录用户的远程桌面连接历史记录：

也就是说，如果当前主机登录了两个用户，那么这两个用户的注册表信息都会保存在HKEY_USERS\<SID>下。但如果第三个用户未登录，此时是无法直接获得该用户的注册表信息的，会报如下错误：

也就无法直接导出该用户的远程桌面连接历史记录。

最后给出一个三好学生写的枚举脚本：

$RegPath = "Registry::HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\"
$QueryPath = dir $RegPath -Name
foreach($Name in $QueryPath)
{   
	Try  
	{  
		$User = (Get-ItemProperty -Path $RegPath$Name -ErrorAction Stop | Out-Null).UsernameHint
    		Write-Host "Server:"$Name
    		Write-Host "User:"$User"`n"
    	}
    	Catch  
    	{
		Write-Host "No RDP Connections History"
    	}
}

导出所有用户的历史记录

前面刚说了，对于未登录用户，无法直接获得注册表配置信息，那有什么解决办法？其实这里可以通过加载配置单元的方式来解决，即打开用户的 NTUSER.DAT
文件，加载配置单元导入用户配置信息，然后进行枚举。

选中 HKEY_USERS 项，“文件” —> “加载配置单元”，如下图：

选择打开用户的 NTUSER.DAT 文件，路径为C:\Documents and Settings\用户名\NTUSER.DAT，这里以当前未登录的
moretz 用户为例：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dlwipGAs-1690337260460)(https://image.3001.net/images/20210714/1626198933_60edd395f2e3cff260744.png!small)]

接着指定一个项名称，即可在 HKEY_USERS 下读取该用户的注册表配置信息，如下图所示：

然后按照之前的路径进行枚举即可。

此外，也可以通过命令行实现加载配置单元的实例：

Reg load HKEY_USERS\testmoretz C:\Documents and Settings\moretz\NTUSER.DAT

最后给出一个三好学生写的枚举脚本：https://github.com/3gstudent/List-RDP-Connections-History

获取 RDP 远程桌面连接凭据

一般的，就抓取凭据方面而言，很多人专注于从 lsass.exe 进程里面窃取凭据，但是 lsass.exe 通常来说已经是被 EDR
产品重点监控的进程了，因此我们自然而然的研究方向便是找到可能不太严格审查的替代方案。这就引出了我们下文中对 RDP 凭据的收集。与 lsass.exe
一样，RDP 协议相关的进程例如 svchost.exe、mstsc.exe 等也在收集凭证的范围内，并且从这些进程中收集凭据不需要管理员特权。

当我们发现目标主机中存在远程桌面连接的历史记录时，我们可以根据历史记录找到其连接过的远程桌面，并确定出关键的服务器。但光找到关键的服务器那能够啊！我们最好能够导出连接远程桌面的连接凭据，获取服务器密码。下面我们便来简单介绍几个可以导出远程桌面连接凭据的方法。

在凭据管理器中查看 Windows 凭据

对于那些经常使用 RDP
远程桌面连接远程服务器的用户来说，如果他不想对远程主机进行多次身份验证的话，他们可能会保存连接的详细信息，以便进行快速的身份验证。而这些凭据使用数据保护
API 以加密的形式存储在 Windows 的凭据管理器中。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FeQE8N9m-1690337260462)(https://image.3001.net/images/20210714/1626198934_60edd396bde65336350f4.png!small)]

这些 Windows 凭据保存在磁盘上的以下位置中：

C:\Users\<用户名>\AppData\Local\Microsoft\Credentials

我们可以用如下命令查看当前主机上保存的连接凭据：

cmdkey /list    # 查看当前保存的凭据  
​  
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*    # 遍历 Credentials 目录下保存的凭据

如上图可以看到，Credentials 目录下保存有两个历史连接凭据，但里面的凭据是加密的，要想查看还需要使用 M

可试读前40%内容

¥ 4.9 全文阅读

开通会员免费阅读 最低0.3元/天

遍历 Credentials 目录下保存的凭据

[外链图片转存中…(img-bqV441pN-1690337260464)]

如上图可以看到，Credentials 目录下保存有两个历史连接凭据，但里面的凭据是加密的，要想查看还需要使用 M

可试读前40%内容

¥ 4.9 全文阅读

开通会员免费阅读 最低0.3元/天

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。