今天參加 HITCON，深刻感受到大家的熱忱，偶像依舊帥氣如常。
帶著這份感動，我會繼續努力成為理想中的自己，所以現在投入鐵人賽第 13 天 XD

前天的節錄 - 1

有時候我覺得自己很像在跑 lazagne.exe all，
試著從生活的各個角落搜尋線索—
瀏覽器儲存的帳密、RDP 的 saved credential、甚至登錄檔裡偷偷躺著的 DefaultPassword。
可那一串字母和符號再漂亮，也不會告訴我它能不能陪我。

lazagne.exe

當我們試過方法都失敗時，可以試試看 LaZagne 工具，嘗試從各式各樣的軟體中提取憑證。

可用的環境包含：

• 網頁瀏覽器
• 資料庫
• 電子郵件
• 系統管理工具
• 內部的密碼儲存機制（例如 Autologon、Credman 等）

LaZagne 可以：

• 執行所有模組
• 執行特定模組（例如 databases）
• 或針對單一軟體（例如 OpenVPN）
• 輸出結果可存成純文字檔或 JSON 格式

簡單步驟：先把程式下載下來

1. 從此處下載 exe： https://github.com/AlessandroZ/LaZagne/releases/

2. 在目標系統上執行 LaZagne，使用 all 參數以掃描所有支援的模組：

LaZagne.exe all

若出現 Password Found 之類的字眼就是找到了！

前天的節錄 - 2

我期望能得到你的認同，但可惜現實沒有 -m 13400 這種模式，也沒有 SessionGopher 幫我列出誰願意打開心門給我登入。

搜尋 & 解密遠端存取工具的儲存登入資訊 - SessionGopher

我們可以使用 SessionGopher 來提取 PuTTY、WinSCP、FileZilla、SuperPuTTY 和 RDP 儲存的憑證。

這個工具是以 PowerShell 撰寫的，用來搜尋並解密遠端存取工具的儲存登入資訊。

執行地點：

它可以在本地或遠端執行～

SessionGopher 的原理：

1. 搜尋 HKEY_USERS hive 中所有曾登入過網域（或獨立主機）的使用者。

2. 找出並解密任何能發現的已儲存工作階段資訊。

3. 能用來搜尋磁碟上的檔案，例如：PuTTY 私鑰檔（.ppk）、遠端桌面檔案（.rdp）、RSA 憑證檔（.sdtid）

補充：HKEY_USERS hive

來源：https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/performance/windows-registry-advanced-users

1. 每個使用者的註冊表都會存到 HKEY_USERS

• 當一個使用者登入 Windows 時，他的「使用者設定檔（NTUSER.DAT）」會被載入到 HKEY_USERS<SID> 裡。
• SID（Security Identifier）就是使用者的身分 ID。
• 所以 HKEY_USERS 會包含「這台機器上所有曾登入過的使用者」的資料。

2. 遠端連線工具的設定會存進去

• PuTTY、WinSCP、RDP 之類的遠端工具，如果你有「儲存工作階段 / 記住密碼」，這些資訊常常就會放在使用者自己的註冊表區域裡。
• 例如：
  • HKEY_USERS<SID>\Software\SimonTatham\PuTTY\Sessions
  • HKEY_USERS<SID>\Software\Martin Prikryl\WinSCP 2\Sessions

3. 網域或獨立主機都會留痕跡

• 不管這台是加入網域的電腦，還是單機（standalone），只要有人登入過，Windows 都會在 HKEY_USERS 建立一份對應的設定。
• 這就是為什麼工具會去搜尋 HKEY_USERS → 因為那裡可能藏著所有曾經用過這台電腦的人的遠端連線憑證。

p.s. HKEY_USERS 的痕跡 預設不會自動清除，除非使用者帳號被刪掉或有人特意清理。

備註： HKCU ＆ HKU

• HKCU （HKEY_CURRENT_USERS） = HKU<目前登入者的 SID>（只是個捷徑 alias）
• HKU （HKEY_USERS）= 所有曾經登入過的使用者設定集合

以目前使用者執行 SessionGopher

若要取得 HKEY_USERS 下所有使用者的儲存會話資訊，需要有本機管理員權限。
不過，我們可以先試試用「目前使用者」身份執行，看看能不能找到有用的憑證。

範例：執行 SessionGopher

PS C:\lab> Import-Module .\SessionGopher.ps1
PS C:\Tools> Invoke-SessionGopher -Target <TEST-SRV01>

把 SessionGopher.ps1 這個 PowerShell 腳本載入到記憶體，讓我們可以用裡面的函式。

執行 Invoke-SessionGopher 這個函式，指定目標電腦 <TEST-SRV01>，會去檢查那台機器上目前使用者的註冊表，看看有沒有存過 PuTTY / WinSCP / RDP 這類遠端工具的連線帳密 ～

如果有，還會幫忙把密碼解出來ＸＤ

如：

WinSCP Sessions
Source   : TEST-SRV01\ctf-lab
Session  : Default Settings
Hostname : transfer.inlanefreight.local
Username : root
Password : Summer2020!

小語

# 在 HITCON 的會場裡，
# 看到一群眼睛會發光的人～
# 他們為了技術熬夜、為了解題拍桌，
# 那股熱忱讓我也忍不住跟著燃燒！
# 當然，偶像也很帥啦 XD