凭证窃取 | Xshell凭证窃取

当我们通过xx手段获取目标用户端控制权限时，接下来的操作便是被控电脑主机上的信息搜集，通常会搜集用户本地的账号密码、浏览器保存的登录信息、远程连接工具保存账号密码等等，以便我们可以进一步的扩展攻击范围，直至获取到flag靶标。

本节小编将给大家介绍Xshell工具的凭证窃取方式，对于Xshell工具相信大家并不陌生，很多开发或者运维人员使用xshell连接远程的服务端，用于远程的配置和管理服务器。相对于其它的远程连接工具Xshell算是相对安全的，因为该工具存储的账号密码使用过RC4加密的，但是当攻击者通过xx方式获取到目标主机的控制权限时，xshell端加密保存的数据也变得不安全了。

xshell一共更新的5，6，7三个版本，不同版本的xshell对存储的口令加密方式也不尽相同：

version < 5.1 将"!X@s#h$e%l^l&"的MD5值作为RC4的密钥key

version == 5.1 or 5.2 将计算机用户的SID序列号的SHA-256值作为RC4的密钥key

version > 5.2 将计算机的用户名+SID序列号的SHA-256值作为RC4的密钥key

version = 7.1 将计算机的用户名+SID倒序的字符串的SHA-256值作为RC4的密钥key

xshell在默认安装的情况下，保存的账号密码是存储在了sessions文件夹中，默认安装的情况下的路径：

XShell 5  %userprofile%\Documents\NetSarang\Xshell\SessionsXShell 6  %userprofile%\Documents\NetSarang Computer\6\Xshell\SessionsXshell 7  %userprofile%\Documents\NetSarang Computer\7\Xshell\Sessions

小编给大家推荐几款获取xshell口令的工具：

（1） SharpXDecrypt ：https://github.com/JDArmy/SharpXDecrypt

>>> SharpXDecrypt.exe

（2）Xdecrypt : https://github.com/dzxs/Xdecrypt

>>> python3 Xdecrypt.py

>>>python3 Xdecrypt.py -s 1001-214154511-7660477841-6187249923-12-5-1-Sbeta -p qX+QrvxWabUs5OKDrR1dGC3oj/n67GZyus6ErCzkwIP1T+K8

参考文章：

https://github.com/HyperSine/how-does-Xmanager-encrypt-password

https://github.com/uknowsec/SharpDecryptPwd

https://github.com/dzxs/Xdecrypt

https://github.com/JDArmy/SharpXDecrypt