Você pode encontrar uma versão criptografada (com a função CryptProtectData) de credenciais PEAP armazenadas no valor de dados binários denominado "MSMUserData" nos locais de registro já especificados na resposta NON:
Location of PEAP passwords
User HKCU\Software\Microsoft\Wlansvc\UserData\Profiles[GUID]
Machine HKLM\Software\Microsoft\Wlansvc\UserData\Profiles[GUID]
Os dados começam com valores hexadecimais 01 00 00 00 d0 8c 9d df 01.
Exportando o valor "MSMUserData" do registro, você obterá um arquivo de texto contendo algo como:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Wlansvc\UserData\Profiles\{GUID}]
"MSMUserData"=hex:01,00,00,00,d0,8c,9d,df,01,...
Você deve converter a lista de valores hexadecimais (logo após o "" MSMUserData "= hex:" string) em um arquivo binário.
Depois de obter o arquivo binário (por exemplo, chamado file.dat), você pode descriptografá-lo usando crypt.exe link além da ferramenta PsExec link
executando o seguinte comando em um prompt de comando elevado
PsExec.exe -s -i cmd /k crypt.exe file.dat
você obterá algo como:
Decrypted: AAAAAAAAAAAAAAAAAAAAAJAEAAAYAAAAAgAAAJAEAAAAAAAAaQQAACAAAAAAAAAAkAQAA
AAAAAABAAAAGQAAAAAAAAAAAAAAAAAAAAEAAABJBAAAIAAAABkAAAAAAAAAAAAAAAAAAAA1BAAAAgAAA
[...]
A== <<<>>>
A saída Crypt.exe (depois do "Decrypted:" e antes de "< < < > > >" strings) é codificada em base64, então você precisará decodificá-la.
A saída decodificada conterá o nome de usuário PEAP e, no final, começará com os valores hexadecimais 01 00 00 00 d0 8c 9d df 01, a versão criptografada (novamente com a função CryptProtectData) da senha.
Use novamente o crypt.exe para descriptografar esse novo texto cifrado e decodificar a saída da codificação base64 e você obterá a senha PEAP.