Pentest中需要注意的本地凭证

收集主机中的和密码凭证的相关内容

Windows

Windows 自动部署过程中的一些凭证(base64)存储位置

1
2
3
4
5
C:\unattend.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\system32\sysprep.inf
C:\Windows\system32\sysprep\sysprep.xml

使用 Metasploit 的post/windows/gather/enum_unattend模块也可以获取到

IIS 管理凭证的 web.config 文件常见路径:

1
2
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config
C:\inetpub\wwwroot\web.config

文件内容示例:

1
2
3
4
5
6
7
8
9
10
11
12
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<authentication mode="Windows">
<forms>
<credentials passwordFormat="Clear">
<user name="Admin" password="Admin" />
</credentials>
</forms>
</authentication>
</system.web>
</configuration>

包含密码的 groups.xml 文件

1
2
C:\ProgramData\Microsoft\Group Policy\History\????\Machine\Preferences\Groups\Groups.xml
\\????\SYSVOL\\Policies\????\MACHINE\Preferences\Groups\Groups.xml

这个文件每个域用户都可以读取。文件中的密码是加密的,但是Microsoft已经发布了密钥,可以对其进行解密。

其他一些可能存储凭证的文件

1
2
3
4
5
Services\Services.xml
ScheduledTasks\ScheduledTasks.xml
Printers\Printers.xml
Drives\Drives.xml
DataSources\DataSources.xml

命令

使用命令查找包含密码的文件:

1
2
3
findstr /si password *.txt
findstr /si password *.xml
findstr /si password *.ini

查找文件的位置:

1
2
3
4
5
6
C:\> dir /b /s unattend.xml
C:\> dir /b /s web.config
C:\> dir /b /s sysprep.inf
C:\> dir /b /s sysprep.xml
C:\> dir /b /s *pass*
C:\> dir /b /s vnc.ini

第三方软件

McAfee

很多windows喜欢使用McAfee保护电脑,McAfee 的加密凭证存储在 sitelist.xml 文件中:

1
%AllUsersProfile%Application Data\McAfee\Common Framework\SiteList.xml

VNC

UltraVNC

1
passwd=5FAEBBD0EF0A2413

RealVNC

RealVNC 的密码可以直接在注册表进行查询:

1
reg query HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 /v password

Putty

PUTTY的明文密码可以在下注册表项中查找:

1
reg query" HKCU\Software\SimonTatham\PuTTY\Sessions"

注册表

Registry 某些情况下可能会包含凭证

1
2
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s

Windows 自动登陆:

1
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"

SNMP 相关参数:

1
reg query "HKLM\SYSTEM\Current\ControlSet\Services\SNMP"

PowerSploit 相关的模块

PowerSploit 也可以用于发现存储的凭证,以下模块支持检查各种文件和注册表中的加密凭证和 plain-text:

1
2
3
4
5
6
Get-UnattendedInstallFile
Get-Webconfig
Get-ApplicationHost
Get-SiteListPassword
Get-CachedGPPPassword
Get-RegistryAutoLogon

参考:Stored Credentials

!坚持技术分享,您的支持将鼓励我继续创作!