RDPea: Ekstrakcja i deszyfrowanie zapisanych poświadczeń zdalnego pulpitu Windows
Sprawdź RDPea, od bluewhackadoo, narzędzie Windows, które ekstraktuje i deszyfruje poświadczenia protokołu pulpitu zdalnego przechowywane lokalnie. Skanuje Menedżera poświadczeń systemu Windows i wykorzystuje API ochrony danych systemu do konwersji zaszyfrowanych blobów na czytelne nazwy użytkowników i hasła za pomocą interfejsu wiersza poleceń, identyfikując nazwy hostów i powiązane konta. Nie jest wymagana skomplikowana instalacja, a projekt jest open-source do inspekcji kodu. Administratorzy i profesjonaliści ds. bezpieczeństwa zyskują przenośne narzędzie do audytu i odzyskiwania dla lokalnych profili.
Co narzędzie lokalizuje i ujawnia
Narzędzie celuje w zapisane dane uwierzytelniające Remote Desktop w Menedżerze poświadczeń systemu Windows. Lokalizuje wpisy specyficzne dla RDP, wyodrębnia powiązane nazwy użytkowników i identyfikatory hostów, a następnie wykorzystuje lokalne API Ochrony Danych, aby odszyfrować bloby haseł na tekst jawny. Uruchamiane z interfejsu wiersza poleceń pozwala administratorom na enumerację, filtrowanie i eksport wyników do tekstu, co pasuje do skryptowanych audytów i zadań odzyskiwania na pojedynczej maszynie, gdzie dane uwierzytelniające pozostają powiązane z lokalnymi profilami użytkowników.
Czy wpływa na zasoby systemowe podczas użycia?
Ze względu na projekt, który kładzie nacisk na minimalne obciążenie, enumeracja i odszyfrowanie są operacjami lokalnymi, które unikają długotrwałych skanów dysku lub aktywności sieciowej. Praca polega na odczytywaniu wpisów Menedżera poświadczeń i wywoływaniu odszyfrowania DPAPI, więc narzędzie nie wprowadza wydłużonych przejść intensywnie obciążających CPU lub I/O. Wykonanie zależy od obecności kompatybilnego środowiska uruchomieniowego .NET, więc wdrożenie wymaga, aby to środowisko było dostępne na docelowym pulpicie.
Czy bezpiecznie jest uruchamiać je na maszynach produkcyjnych?
Bezpieczeństwo zależy od zakresu konta i uprawnień: narzędzie korzysta z Windows Data Protection API, tego samego mechanizmu, którego Windows używa do ochrony sekretów, a jego status open-source pozwala na inspekcję kodu kroków odszyfrowania i obsługi plików. Prawa administracyjne mogą być konieczne do uzyskania dostępu do poświadczeń zapisanych przez innych użytkowników lub konta systemowe, więc operatorzy powinni zweryfikować granice konta i uruchamiać w kontrolowanym środowisku podczas audytów systemów produkcyjnych.
Czy potrzebna jest wiedza techniczna do jego obsługi?
Używanie narzędzia wymaga znajomości wiersza poleceń oraz zrozumienia granic konta w systemie Windows. CLI czyni je odpowiednim do skryptowanych audytów, zbiorowej enumeracji i przenośnych jednorazowych uruchomień, ponieważ nie ma skomplikowanego instalatora. Określona grupa docelowa to administratorzy systemu, profesjonaliści IT i badacze bezpieczeństwa; użytkownicy okazjonalni bez doświadczenia w wierszu poleceń mogą uznać interfejs za zwięzły i powinni przygotować kontrolowane środowisko testowe przed uruchomieniem narzędzia na ważnych maszynach.
Praktyczne narzędzie do audytu i odzyskiwania z kompromisem w linii poleceń
RDPea jest praktyczną opcją dla administratorów, którzy muszą odzyskać lub audytować zapisane dane uwierzytelniające RDP na poziomie lokalnym maszyny. Oferuje przezroczyste, inspekcyjne deszyfrowanie przy użyciu mechanizmu ochrony systemu i integruje się w skryptowane przepływy pracy. Głównym zastrzeżeniem jest jego skupienie na linii poleceń w połączeniu z ograniczeniami uprawnień konta, co zmniejsza przydatność dla użytkowników nietechnicznych. Działa niezawodnie w przypadku ukierunkowanego odzyskiwania danych uwierzytelniających i zadań audytowych na systemach desktopowych.
Zalety
Używa Windows DPAPI do odszyfrowania zapisanych haseł RDP
Wyodrębnij nazwy hostów i nazwy użytkowników z wpisów Menedżera poświadczeń
Interfejs wiersza poleceń umożliwia skrypty i wyjście tekstowe
Kod otwartego źródła pozwala na weryfikację kroków deszyfrowania
Wady
Może wymagać uprawnień administracyjnych do uzyskania dostępu do poświadczeń innych użytkowników
Interfejs tylko w wierszu poleceń może zniechęcać przypadkowych użytkowników komputerów stacjonarnych
Wymaga zgodnego środowiska uruchomieniowego .NET do wykonania
Przepisy dotyczące korzystania z tego oprogramowania różnią się w zależności od kraju. Nie zachęcamy do korzystania z tego programu ani nie akceptujemy go, jeśli narusza on prawo. Softonic może otrzymać wynagrodzienie, jeśli klikniesz lub kupisz produkty przedstawione tutaj.
