Пароли от RDP в svhost.exe

[tabac]

Известный исследователь jonasLyk раскопал, что в некоторых случаях (пока непонятно, по какому принципу) пароли от RDP лежат в памяти сервера в открытом виде. А именно в svhost.exe.

Таким образом, сдампив svhost хакер может забрать оттуда credentials и использовать их для дальнейшего продвижения в целевой сети. А тем временем Бенджамин Делпи, руководитель разработки Mimikatz, уже сообщил, что соответствующий функционал включен в этот самый Mimikatz.

 

[Maximblack]

Вот это годная информация, спасибо)))

 

[DarkKey]

Зачем ты это сделал)

 

[srerv]

Всё так просто

 

[Emi]

лол, это давно понятная хрень кстати. Сам когда-то писал дампер проца и дроп в зашифрованном виде. Т.е. дампишь память, дропается зашированный файл. На своем пк дешифроваешь, скрамливаешь мимику и получаешь функционал мимика без громкого рантайма. И сам мимик закриптовать изи почти до фуда. Как бы инетерсно? Лс открыт)

 

[SenctumSempra]

sc queryex termservice
tasklist /M:rdpcorets.dll

Двумя командами можно пробить в каком пиде конкретно лежат пароли