Диспетчер учетных данных Windows (Credential Manager), — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и прочих).
В этой статье я покажу, как вытащить информацию из диспетчера учетных данных Windows.
Как извлечь данные из диспетчера учетных данных Windows
Рассмотрим работу с диспетчером учетных данных на примере RDP.
Сохраненные учетные данные в WCM через графический интерфейсНайти те же данные с помощью командной строки можно следующим образом (для английской локалки следует использовать строку /listcreds:»Windows Credentials».):
|
1 |
> vaultcmd /listcreds:"Учетные данные Windows" /all |
Сохраненные учетные данные в WCM через командную строку
Эти учетные данные хранятся в каталоге пользователя:
|
1 |
C:\Users\<USER>\AppData\Local\Microsoft\Credentials\ |
Учетные данные пользователя
Посмотрим на эти данные.
|
1 |
dpapi::cred /in:C:\Users\<USER>\AppData\Local\Microsoft\Credentials\[хранилище] |
Содержимое хранилища учетных данных
Самое интересное здесь — это pbData (данные, которые нужно расшифровать) и guidMasterKey. Как получить мастер-ключ, мы рассмотрели раньше (эту стадию мы пропустим). Давайте расшифруем учетные данные.
|
1 |
dpapi::cred /in:C:\Users\<USER>\AppData\Local\Microsoft\Credentials\[хранилище] /masterkeys:[мастер-ключ] |
Расшифрованные учетные данные пользователя
Подобным образом можно извлечь любые данные, сохраненные в WCM.
На этом все. Теперь вы знаете, как расшифровать и просмотреть пароль в диспетчере учетных данных Windows.
