0x00 前言
在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。
在实际的渗透过程中,如果发现了远程桌面连接的历史记录,奇热那么下一步就需要想办法获取远程桌面连接使用的口令。
本文将会结合RdpThief介绍从远程桌面客户端提取明文凭据的方法,分享需要注意的细节。
RdpThief地址:
https://github.com/0x09AL/RdpThief
0x01 简介
本文将要介绍以下内容:
· 获取远程桌面连接口令的思路
· 使用Detours库hook系统API的方法
· 使用API monitor监控系统API调用的方法
· 使用RdpThief从远程桌面客户端提取明文凭据
0x02 获取远程桌面连接口令的思路
通常有以下两种:
1.使用键盘记录程序,记录mstsc.exe在启动过程中用户输入的口令。
2.在mstsc.exe启动时,读取mstsc.exe的内存数据,提取出用户输入的口令。
RdpThief是第二种实现思路,使用Detours库hook系统API,使用API monitor监控系统的API调用,找到mstsc.exe在内存中存储明文口令的位置,代码简洁有效。
0x03 使用Detours库hook系统API的方法
RdpThief在实现上使用Detours库来hook系统API,所以这里简要介绍一下Detours库的用法。
Detours库用于监视和检测Windows上的API调用,可以用来hook系统API。
这里介绍使用Detours库hook系统API的两种方法。
1.编译Detours源码并使用
(1)编译Detours源码
下载Detours源码,地址如下