Tutorials

Guida all'Harvesting di Password in Usual Spots durante la Post-Exploitation su Windows

Una volta ottenuto accesso a una macchina Windows, una delle attività più critiche nella fase di post-exploitation è la raccolta di credenziali memorizzate localmente. Spesso, gli utenti o le applicaz

#exploitation#post-exploitation#windows#password-cracking

Guida all'Harvesting di Password in Usual Spots durante la Post-Exploitation su Windows

Introduzione

Una volta ottenuto accesso a una macchina Windows, una delle attività più critiche nella fase di post-exploitation è la raccolta di credenziali memorizzate localmente. Spesso, gli utenti o le applicazioni salvano password in file di configurazione, script, o applicazioni di uso comune.

Questa guida approfondisce le directory più comuni e i file sensibili da analizzare, oltre ai comandi utili per automatizzare la ricerca di dati critici.

Directory Sensibili da Ispezionare

1. Profili Utente

Percorsi:

  • C:\Users\\Documents
  • C:\Users\\Desktop
  • C:\Users\\Downloads
  • C:\Users\\AppData\Roaming
  • C:\Users\\AppData\Local

File comuni da cercare:

  • .txt, .docx, .xlsx, .pdf
  • .ini, .conf, .xml, .json, .ps1, .bat
  • credentials.txt, passwords.txt, login_info.docx, db_config.json

2. AppData Specifico

Contiene dati specifici per le applicazioni:

  • AppData\Roaming\FileZilla\recentservers.xml
  • AppData\Roaming\Thunderbird\Profiles
  • AppData\Roaming\.ssh\
  • AppData\Local\Google\Chrome\User Data\Default\Login Data

3. Configurazioni di Sistemi e Tool

  • C:\xampp\mysql\bin\my.ini
  • C:\Program Files\MySQL\MySQL Server X.X\my.ini
  • C:\inetpub\wwwroot\web.config
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

4. Registry Hive Files

  • C:\Windows\System32\config\SAM
  • C:\Windows\System32\config\SYSTEM
  • C:\Windows\System32\config\SECURITY

Comandi Utili per la Ricerca di Credenziali

1. Ricerca Ricorsiva di File Sospetti

powershell
Get-ChildItem -Path C:\Users -Recurse -Include .txt,.ini,.xml,.json,.conf,.log -ErrorAction SilentlyContinue

2. Ricerca per Contenuto (Regex su keyword sensibili)

powershell
Select-String -Path C:\Users\\ -Pattern "password|passwd|pwd|login|cred|key" -SimpleMatch -Recurse -ErrorAction SilentlyContinue

3. Esportazione Credenziali Wi-Fi

powershell
netsh wlan show profiles
netsh wlan show profile name="<SSID>" key=clear

4. Ricerca in Chrome (Login Data)

powershell
copy "C:\Users\<utente>\AppData\Local\Google\Chrome\User Data\Default\Login Data" C:\Temp\login_data.db

Analisi con tool come sqlitebrowser o script python per decifrare

5. Dump Credenziali RDP salvate

powershell
cmdkey /list

Strumenti Consigliati

SharpWeb / BrowserGather

Permette l'estrazione di credenziali da browser (Chrome, Firefox, Edge).

LaZagne

Strumento multipiattaforma per l'estrazione di credenziali da diverse fonti locali.

PowerView (parte di PowerSploit)

Per l'analisi di condivisioni, utenti e privilege escalation.

Indicatori di File Interessanti

  • Presenza di stringhe come user=, password=, server=, token=, auth=
  • File con nomi sospetti come backup.sql, id_rsa, config.old
  • Script automatizzati (.ps1, .bat) con credenziali hardcoded

Best Practice Offensive

  • Automatizzare la raccolta usando script (es. PowerShell o Python)
  • Esfiltrare solo i file rilevanti per ridurre il footprint
  • Usare canali cifrati per l'exfiltration (HTTPS, SMB su canali proxy)

Contromisure Difensive

  • Evitare il salvataggio di credenziali in chiaro
  • Implementare CREDGUARD e LSA Protection
  • Monitorare accessi e modifiche in AppData
  • Utilizzare DLP (Data Loss Prevention) per prevenire esfiltrazione

Conclusione

L'harvesting di password è una fase cruciale per espandere la superficie d'attacco e ottenere credenziali riutilizzabili. Conoscere i punti deboli ricorrenti nei sistemi Windows consente di ottimizzare la fase di post-exploitation e rafforzare le raccomandazioni durante il reporting finale.