如何在内网实施网络攻击？

案例背景：前日（7月27日），某市局xz给我一电话，说在现场扣押的xyr计算机中有远程桌面的连接记录（有保存登录凭证），点击连接，能够连上一台windows server 2022的云主机，欲获取远程桌面的连接密码。

这时想到各大厂商的介质取证软件能够提取到远程桌面的密码，故引导其做镜像后再进行分析，尝试获取。一日后再问，通过即时聊天工具里的聊天内容获得。后一想，可有更便捷的方式，于是研究了一下获取其密码的方法，也顺便研究了一下内网各个密码的获取方式。

其实这里还有一个思路，远程桌面的密码即为所连接电脑的系统密码，可用工具尝试获取windows server 2022的ntlm值，再对其值尝试进行破解，所以可以在windows server 2022系统上运行ntlm值获取工具，但如果被xyr发现，xyr有可能删库跑路，故此方式不可取。

这期我们就来说说在不制作镜像的情况下，如何直接获取windiws系统下的连接过且保存的远程桌面密码，以及各类内网密码获取方式。

如何打开windows系统的远程桌面？使用“win+R”键，在运行状态下输入mstsc快速打开远程桌面。

若勾选此选项，系统统会将连接远程桌面的密码加密后存储到本地路径：

%userprofile%\AppData\Local\Microsoft\Credentials\*

此状态为保存有密码的连接界面，如果没有制定端口，则默认连接的是3389端口。也可以将当前连接保存为rdp文件，只要打开rdp文件即可连接。

那么如何判断本地计算机是否保存远程桌面呢：

打开cmd界面，输入命令cmdkey /list

可以看到保存为连接的地址192.168.252.151。使用
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*命令在cmd窗口运行也可看到。

那么我们如何查看它所保存的密码呢？

直接使用工具LostMyPassword工具直接可以获得。

工具下载连接：https://www.nirsoft.net/

如下载速度慢，也可在后台回复内网密码获取工具。获取网盘下载地址。

也可以看到所连接的时间点与IP地址与上述相符。

获取到远程桌面连接密码即获取对方的系统密码。

分析完上述案例后，我们来解析一下内网中其他密码的获取方式。

1. 浏览器密码（只可获取已保存的密码）
   

1. 本机所连接过的无线密码
   只需要在cmd界面下运行命令
   for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
   

可看到所连接的ssid及其对应的密码.

1. 获取windows系统用户密码

获取windows系统用户密码需先获取其用户的ntlm值，再通过在线或离线的哈希库进行碰撞即可获取明文密码。

直接运行工具PasswordHashesView即可得到NTLM值。

四、终端连接工具

1.xshell连接工具

xshell所保存的账号密码位置在sessions文件夹中。不同版本的sessions文件夹默认位置不同。

可以看到，.xsh的文件即便是保存了账号密码的重要文件，也是解密的凭证。但不管是哪个版本的xshell，打开xshell软件，右键会话属性，使用星号查看器即可看到所保存的密码。

1. Finalshell连接工具

Finalshell连接工具不能直接用星号查看器获得，需要获取其密码的加密值，使用finalshell解密脚本即可获取。

要获取密码的加密值需要先导出其配置文件。

打开Finalshell，右键连接记录，导出选中即可导出其配置文件。同样地，用户也需勾选“记住密码”，不然将提取不到密码所对应的加密值。

查看配置文件，看到“password”关键词，获取其密码加密值。

本地运行finalshell解密脚本，即在解密脚本文件夹的地址栏上输入cmd（本地需有java环境）

使用命令java FinalShellDecodePass W29PUQppW16xje8G2fJ7TMK7Ex9H9G8O 即可得出明文密码。

后续更多工具密码查看方式待小谢整理更新。。如MobaXterm、Navicat、Winscp、FileZilla等软件。以上工具脚本，如有需要，在“小谢取证”公众号后台回复“内网密码”获取工具即可下载。