如何在内网实施网络攻击?
案例背景:前日(7月27日),某市局xz给我一电话,说在现场扣押的xyr计算机中有远程桌面的连接记录(有保存登录凭证),点击连接,能够连上一台windows server 2022的云主机,欲获取远程桌面的连接密码。
这时想到各大厂商的介质取证软件能够提取到远程桌面的密码,故引导其做镜像后再进行分析,尝试获取。一日后再问,通过即时聊天工具里的聊天内容获得。后一想,可有更便捷的方式,于是研究了一下获取其密码的方法,也顺便研究了一下内网各个密码的获取方式。
其实这里还有一个思路,远程桌面的密码即为所连接电脑的系统密码,可用工具尝试获取windows server 2022的ntlm值,再对其值尝试进行破解,所以可以在windows server 2022系统上运行ntlm值获取工具,但如果被xyr发现,xyr有可能删库跑路,故此方式不可取。
这期我们就来说说在不制作镜像的情况下,如何直接获取windiws系统下的连接过且保存的远程桌面密码,以及各类内网密码获取方式。
如何打开windows系统的远程桌面?使用“win+R”键,在运行状态下输入mstsc快速打开远程桌面。
若勾选此选项,系统统会将连接远程桌面的密码加密后存储到本地路径:
%userprofile%\AppData\Local\Microsoft\Credentials\*
此状态为保存有密码的连接界面,如果没有制定端口,则默认连接的是3389端口。也可以将当前连接保存为rdp文件,只要打开rdp文件即可连接。
那么如何判断本地计算机是否保存远程桌面呢:
打开cmd界面,输入命令cmdkey /list
可以看到保存为连接的地址192.168.252.151。使用
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*命令在cmd窗口运行也可看到。
那么我们如何查看它所保存的密码呢?
直接使用工具LostMyPassword工具直接可以获得。
工具下载连接:https://www.nirsoft.net/
如下载速度慢,也可在后台回复内网密码获取工具。获取网盘下载地址。
也可以看到所连接的时间点与IP地址与上述相符。
获取到远程桌面连接密码即获取对方的系统密码。
分析完上述案例后,我们来解析一下内网中其他密码的获取方式。
- 浏览器密码(只可获取已保存的密码)
- 本机所连接过的无线密码
只需要在cmd界面下运行命令
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
可看到所连接的ssid及其对应的密码.
- 获取windows系统用户密码
获取windows系统用户密码需先获取其用户的ntlm值,再通过在线或离线的哈希库进行碰撞即可获取明文密码。
直接运行工具PasswordHashesView即可得到NTLM值。
四、终端连接工具
1.xshell连接工具
xshell所保存的账号密码位置在sessions文件夹中。不同版本的sessions文件夹默认位置不同。
可以看到,.xsh的文件即便是保存了账号密码的重要文件,也是解密的凭证。但不管是哪个版本的xshell,打开xshell软件,右键会话属性,使用星号查看器即可看到所保存的密码。
- Finalshell连接工具
Finalshell连接工具不能直接用星号查看器获得,需要获取其密码的加密值,使用finalshell解密脚本即可获取。
要获取密码的加密值需要先导出其配置文件。
打开Finalshell,右键连接记录,导出选中即可导出其配置文件。同样地,用户也需勾选“记住密码”,不然将提取不到密码所对应的加密值。
查看配置文件,看到“password”关键词,获取其密码加密值。
本地运行finalshell解密脚本,即在解密脚本文件夹的地址栏上输入cmd(本地需有java环境)
使用命令java FinalShellDecodePass W29PUQppW16xje8G2fJ7TMK7Ex9H9G8O 即可得出明文密码。
后续更多工具密码查看方式待小谢整理更新。。如MobaXterm、Navicat、Winscp、FileZilla等软件。以上工具脚本,如有需要,在“小谢取证”公众号后台回复“内网密码”获取工具即可下载。
