案例背景:前日(7月27日),某市局xz给我一电话,说在现场扣押的xyr计算机中有远程桌面的连接记录(有保存登录凭证),点击连接,能够连上一台windows server 2022的云主机,欲获取远程桌面的连接密码。
这时想到各大厂商的介质取证软件能够提取到远程桌面的密码,故引导其做镜像后再用取证软件进行分析,尝试获取。一天后再问,远程桌面的连接密码通过即时聊天工具里的聊天内容获得。后一想,可有可为便捷的思路,于是研究了一下获取其密码的方法,也顺便研究了一下内网各个密码的获取方式。
其实这里还有一个思路,远程桌面的密码即为所连接电脑的系统密码,可用工具尝试获取windows server 2022的ntlm值,再对其值尝试进行破解,所以可以在windows server 2022系统上运行ntlm值获取工具,但如果被xyr发现,xyr有可能删库跑路,故此方式不可取。
这期我们就来说说在不制作镜像的情况下,如何直接获取windiws系统下的连接过且保存的远程桌面密码,以及各类内网密码获取方式。
如何打开windows系统的远程桌面?使用“win+R”键,在运行状态下输入mstsc快速打开远程桌面。
若勾选此选项,系统统会将连接远程桌面的密码加密后存储到本地路径:
%userprofile%AppDataLocalMicrosoftCredentials*
此状态为保存有密码的连接界面,如果没有制定端口,则默认连接的是3389端口。也可以将当前连接保存为rdp文件,只要打开rdp文件即可连接。
那么如何判断本地计算机是否保存远程桌面呢:
打开cmd界面,输入命令cmdkey /list
可以看到保存为连接的地址192.168.252.151。使用
dir /a %userprofile%AppDataLocalMicrosoftCredentials*
命令在cmd窗口运行。
那么我们如何查看它所保存的密码呢?
直接使用工具LostMyPassword工具直接可以获得。
工具下载链接:https://www.nirsoft.net/
如下载速度慢,也可在后台回复内网密码获取工具。获取网盘下载地址。
也可以看到所连接的时间点与IP地址与上述相符。
获取到远程桌面连接密码即获取对方的系统密码。
分析完上述案例后,我们来解析一下内网中其他密码的获取方式。
一、浏览器密码(只可获取已保存的密码)
直接运行LostMyPassword工具即可获得。LostMyPassword能够获取各浏览器保存的账号及密码以及已保存的远程桌面连接密码。
二、本机所连接过的无线密码
只需要在cmd界面下运行命令
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
可看到所连接的ssid及其对应的密码.
三、获取windows系统用户密码
获取windows系统用户密码需先获取其用户的ntlm值,再通过在线或离线的哈希库进行碰撞即可获取明文密码。
直接运行工具PasswordHashesView即可得到。
四、终端连接工具
1.xshell连接工具
xshell所保存的账号密码位置在sessions文件夹中。不同版本的sessions文件夹默认位置不同。
可以看到,.xsh的文件即便是保存了账号密码的重要文件,也是解密的凭证。但不管是哪个版本的xshell,打开xshell软件,右键会话属性,使用星号查看器即可看到所保存的密码。
2.Finalshell连接工具
Finalshell连接工具不能直接用星号查看器获得,需要获取其密码的加密值,使用finalshell解密脚本即可获取。
要获取密码的加密值需要先导出其配置文件。
打开Finalshell,右键连接记录,导出选中即可导出其配置文件。同样地,用户也需勾选“记住密码”,不然将提取不到密码所对应的加密值。
查看配置文件,看到“password”关键词,获取其密码加密值。
本地运行finalshell解密脚本,即在解密脚本文件夹的地址栏上输入cmd(本地需有java环境)
使用命令java FinalShellDecodePass W29PUQppW16xje8G2fJ7TMK7Ex9H9G8O 即可得出明文密码。
后续更多内网密码查看方式待小谢整理更新。。如MobaXterm、Navicat、Winscp、FileZilla等软件。以上工具脚本,如有需要,在“小谢取证”公众号后台回复内网密码获取工具即可下载。
原文始发于微信公众号(小谢取证):实战案例分析:远程桌面密码获取(附内网各个密码获取方式)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论