缺：BloodHound自动化分析域环境未实现（环境问题）

获取常见应用软件凭据

为了扩大可访问的范围，测试人员通常会搜索各种常见的密码存储位置，以获取用户凭据。一些特定的应用程序可以存储密码，以方便用户管理和维护，如Xmanager、.TeamViewer、FileZilla、NaviCat和各种浏览器等。通过对保存的用户凭据进行导出和解密，测试人员通常可以获取登录内网服务器和各种管理后台的账号密码，可以通过它们进行横向移动和访问受限资源。

1、获取RDP保存的凭据

为了避免每次连接服务器都进行身份验证，经常使用RDP远程桌面连接远程服务器的用户可能勾选保存连接凭据，以便进行快速的身份验证。这些凭据都使用数据保护API以加密形式存储在Windows的凭据管理器中，路径为为%USERPROFILE%\AppData\Local\Microsoft\Credentials。

tips:<font style="color:rgb(44, 44, 54);">%USERPROFILE%\AppData\Local\Microsoft\Credentials</font> 实际上指的是 <font style="color:rgb(44, 44, 54);">C:\Users\用户名\AppData\Local\Microsoft\Credentials</font> 这个位置

执行以下命令可以查看当前主机上保存的所有连接凭据

cmdkey /list			#查看当前保存的凭据
dir /a %USERPROFILE%\AppData\Local\Microsoft\Credentials\*		#遍历Credentials目录下保存的凭据

由上图可知，Credentials目录保存一个历史连接凭据，但其中的凭据是加密的。下面尝试使用Mimikatz导出指定的RDP连接凭据。首先，执行以下命令：

mimikatz.exe "privilege::debug" "dpapi::cred /in:%USERPROFILE%\AppData\Local\Microsoft\Credentials\54461880A4E364919FB23518091F65E1" exit

解析连接凭据54461880A4E364919FB23518091F65E1

得到的pbData就是凭据的加密数据，guidMasterKey是该凭据的GUID，记录guidMasterKey的值。

执行以下命令：

mimikatz.exe "privilege::debug" "sekurlsa::dpapi" exit

找到与guidMasterKey(GUID)相关联的MasterKey。这个MasterKey就是加密凭据所使用的密钥。

记录结果中的MasterKey值，最后执行以下命令：

mimikatz.exe "dpapi::cred /in:%USERPROFILE%\AppData\Local\Microsoft\Credentials\54461880A4E364919FB23518091F65E1/masterkey:17ac31c73e51c41af888b7a2ff4d878e1044eaad89325e9c54d97802ecb808224dca8ab6e794a97d39a19d905295252f336277f2401cd829b" exit

使用找到的MasterKey值破解指定的凭据文件54461880A4E364919FB23518091F65E1成功解密，得到RDP明文凭据。**

获取Xshell保存的凭据

Xshell是一款强大的安全终端模拟软件，支持SSH1、SSH2和Microsoft的TELNET协议。Xshell可以在Windows下访问远端不同系统下的服务器，从而达到远程控制终端的目的。**Xshell会将服务器连接信息保存在Session目录下的.xsh文件中。**如果用户在连接时勾选了“记住用户名/密码”，该文件会保存远程服务器连接的用户名和经过加密后的密码。

Xshell7前的版本，测试人员可以直接通过SharpDecryptPwd工具进行解密，包括Navicat、TeamViewer、FileZilla、WinSCP和Xmangager系列产品。

项目地址：https://github.com/uknowsec/SharpDecryptPwd

将SharpDecryptPwd上传到目标主机，执行以下命令，可以直接获取Xshell保存的所有连接凭据。

SharpDecryptPwd.exe -Xmangager -p "%USERPROFILE%\Documents\NetSarang Computer\6\Xshell\Sessions"

Xshell7后的版本，Session目录中不再存储用户密码，用上述方法获取的密码为一串乱码，只能使用星号密码查看器直接查看密码。

项目地址：https://wwtp.lanzoul.com/iHVKl0winghc

3、获取FileZilla保存的凭据

FileZilla是一款快速的、可依赖的、开源的FTP客户端软件，具备大多数FTP软件功能。FileZilla会将所有FTP登录凭据以Base64密文的格式保存在%USERPROFILE%\AppData\Roaming\FileZillarecentservers.xml文件中，

使用SharpDecryptPwd一键导出FileZilla保存的FTP登录凭据。

SharpDecryptPwd.exe -Filezilla

4、获取Navicat保存的凭据

NaviCat是一款强大的数据库管理和设计工具，被运维人员广泛使用。当用户连接数据库时，需要填写相关信息，如P、用户名、密码等。用户选择保存密码（默认勾选）后，Navicat将把这些信息保存到注册表中，其中，密码是经过可逆算法加密后保存的，并且Navicat<-=l1版本和Navicat>=l2版本分别使用不同的加密算法。

通过以下命令：

SharpDecryptPwd.exe -NavicatCrypto

SharpDecryptPwd工具可以一键导出当前主机上用户连接过的所有数据库的登录凭据。

5、获取浏览器保存的登录凭据

Wb浏览器通常会保存网站用户名和密码等凭据，以避免多次手动输入。通常，用户的凭据以加密格式存储在本地文件中，测试人员可以通过读取特定的文件，从Wb浏览器中获取凭据。

浏览器中获取凭据。HackBrowserData是一款开源工具，可以直接从浏览器解密数据包括用户登录密码、书签、Cookie、历史记录、信用卡、下载链接等，支持流行的浏览器，可在Windows、macOS和Linux平台上运行。

项目地址：https://github.com/moonD4rk/HackBrowserData/releases

只需将HackBrowserData上传到目标主机，然后直接运行即可。

6、获取WinSCP保留的登录凭据

WinSCP是Windows环境下使用SSH的开源图形化SFTP工具客户端。在使用SFTP连接时，如果勾选了“保存密码”，WinSCP就会将密码保存在WinSCP.ini文件下。Winscppwd工具则可以进行解密。

2.5使用BloodHound自动化分析域环境

BloodHound是一款强大的域内环境分析工具，可以揭示并分析域环境中各对象之间的关系，将域内相关用户、用户组、计算机等对象之间的关系以可视化方式呈现。通过BloodHound,测试人员可以更直观、更便捷地分析域内环境的整体情况，并快速识别出复杂的攻击路径。

BloodHound基于Neo4j数据库（一种NoSQL图数据库，可将结构化数据存储在网络上)。在使用时，测试人员需提前将域环境中采集到的数据导入BloodHound的Neo4j数据库，然后通过BloodHound对这些数据进行分析，以可视化方式呈现。

下载地址：GitCode - 全球开发者的开源社区,开源代码托管平台

安装过程：

更新源+下载neo4j

apt update
apt install neo4j -j

运行neo4j数据库

neo4j start       先输入这个
neo4j console      再输入这个就成功启动数据库

打开上图中的那个地址：localhost:7474,右键打开就行了

进去默认账号密码都是:neo4j

接着修改密码，数据库设置完成，然后从上面链接进去下载BloodHound。输入以下命令：

./BloodHound -no-sandbox

运行后进入如下界面：

输入刚才的账号密码，ok了成功进去。