憑證竊取 | Xshell憑證竊取

當我們通過xx手段獲取目標用戶端控制權限時，接下來的操作便是被控電腦主機上的信息搜集，通常會搜集用戶本地的賬號密碼、瀏覽器保存的登錄信息、遠程連接工具保存賬號密碼等等，以便我們可以進一步的擴展攻擊范圍，直至獲取到flag靶標。

本節小編將給大家介紹Xshell工具的憑證竊取方式，對于Xshell工具相信大家并不陌生，很多開發或者運維人員使用xshell連接遠程的服務端，用于遠程的配置和管理服務器。相對于其它的遠程連接工具Xshell算是相對安全的，因為該工具存儲的賬號密碼使用過RC4加密的，但是當攻擊者通過xx方式獲取到目標主機的控制權限時，xshell端加密保存的數據也變得不安全了。

xshell一共更新的5，6，7三個版本，不同版本的xshell對存儲的口令加密方式也不盡相同：

version < 5.1 將"!X@s#h$e%l^l&"的MD5值作為RC4的密鑰key

version == 5.1 or 5.2 將計算機用戶的SID序列號的SHA-256值作為RC4的密鑰key

version > 5.2 將計算機的用戶名+SID序列號的SHA-256值作為RC4的密鑰key

version = 7.1 將計算機的用戶名+SID倒序的字符串的SHA-256值作為RC4的密鑰key

xshell在默認安裝的情況下，保存的賬號密碼是存儲在了sessions文件夾中，默認安裝的情況下的路徑：

XShell 5  %userprofile%\Documents\NetSarang\Xshell\SessionsXShell 6  %userprofile%\Documents\NetSarang Computer\6\Xshell\SessionsXshell 7  %userprofile%\Documents\NetSarang Computer\7\Xshell\Sessions

小編給大家推薦幾款獲取xshell口令的工具：

（1） SharpXDecrypt ：https://github.com/JDArmy/SharpXDecrypt

>>> SharpXDecrypt.exe

（2）Xdecrypt : https://github.com/dzxs/Xdecrypt

>>> python3 Xdecrypt.py

>>>python3 Xdecrypt.py -s 1001-214154511-7660477841-6187249923-12-5-1-Sbeta -p qX+QrvxWabUs5OKDrR1dGC3oj/n67GZyus6ErCzkwIP1T+K8

參考文章：

https://github.com/HyperSine/how-does-Xmanager-encrypt-password

https://github.com/uknowsec/SharpDecryptPwd

https://github.com/dzxs/Xdecrypt

https://github.com/JDArmy/SharpXDecrypt