参考链接:https://blog.csdn.net/qq_36618918/article/details/130677478
使用的工具:mimikatz
前言
该方式适用于获取系统存储的凭证中的用户名和密码,不仅限于远程桌面的凭证。
使用的工具是mimikatz,杀软会报毒拦截,下载及使用的时候可以推出杀软
下载地址:https://gitcode.net/mirrors/gentilkiwi/mimikatz/-/release
操作
- 打开系统目录查看有哪些凭证文件
记录下要操作的文件名:78F88D66269E4A4100E35E1A9C3F8266 - 获取
guidMasterKey
进入到mimikatz.exe的目录,执行
mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\78F88D66269E4A4100E35E1A9C3F8266" exit
其中C:\Users\Administrator\AppData\Local\Microsoft\Credentials\78F88D66269E4A4100E35E1A9C3F8266替换为自己的
复制出其中的guidMasterKey db374c7f-b7fb-4a36-b954-893ca6ef2ade
3. 根据guidMasterKey找到对应Masterkey
mimikatz.exe "privilege::debug" "sekurlsa::dpapi" exit > 1.txt
执行后会在mimikatz目录生成1.txt文件,在其中查找上面获得的guidMasterKey内容,然后复制出Masterkey
4. 解密获取明文
mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\78F88D66269E4A4100E35E1A9C3F8266 /masterkey:ec313e2dbc25445cb392dc6e00696b0c3614e52915599b68857e4c50384373a9baa8043f9135d55543b431a1002225322d2b486cb3659c5ef20379d08a852a59" exit
使用上面的文件名和获得的Masterkey替换上面命令中的部分,执行后可以看到用户名和密码
