Credential Hunting
Una vez que tenemos acceso a una máquina Windows (por RDP o CLI), es buena idea buscar credenciales. Esto se llama Credential Hunting y consiste en revisar el sistema en busca de contraseñas guardadas en archivos, aplicaciones o configuraciones.
En este caso, accedimos al equipo de un administrador de IT con Windows 10, así que hay alta probabilidad de encontrar credenciales valiosas.
Windows y muchas apps tienen funciones de búsqueda integradas, así que podemos aprovechar eso para buscar términos como:
Username
User account
Creds
Users
Passkeys
Passphrases
configuration
dbcredential
dbpassword
pwd
Login
Credentials
Search Tools
Con acceso a la GUI, vale la pena intentar utilizar Windows Search para encontrar archivos en el objetivo utilizando algunas de las palabras clave mencionadas anteriormente.
Por defecto, buscará en varias configuraciones del sistema operativo y en el sistema de archivos aquellos archivos y aplicaciones que contengan el término clave introducido en la barra de búsqueda.
Lazagne
También podemos aprovechar herramientas de terceros como Lazagne para descubrir rápidamente credenciales que los navegadores web u otras aplicaciones instaladas puedan almacenar de forma insegura. Sería beneficioso mantener una copia independiente de Lazagne en nuestro host de ataque para poder transferirla rápidamente al objetivo. Lazagne.exe nos servirá perfectamente en este escenario. Podemos utilizar nuestro cliente RDP para copiar el archivo en el objetivo de nuestro host de ataque. Si estamos utilizando xfreerdp todo lo que debemos hacer es copiar y pegar en la sesión RDP que hemos establecido.
Una vez que Lazagne.exe esté en el objetivo, podemos abrir el símbolo del sistema o PowerShell, navegar hasta el directorio en el que se cargó el archivo y ejecutar el siguiente comando:
Running Lazagne All
Esto ejecutará Lazagne y ejecutará todos los módulos incluidos. Podemos incluir la opción -vv para estudiar lo que está haciendo en segundo plano. Una vez que pulsemos enter, se abrirá otro prompt y mostrará los resultados.
Lazagne Output
Si utilizáramos la opción -vv, veríamos los intentos de recopilar contraseñas de todo el software soportado por Lazagne. También podemos mirar en la página de GitHub en la sección de software soportado para ver todo el software de Lazagne intentará recopilar credenciales. Puede ser un poco chocante ver lo fácil que puede ser obtener credenciales en texto claro. Gran parte de esto se puede atribuir a la forma insegura en que muchas aplicaciones almacenan las credenciales.
Findstr
También podemos utilizar findstr para buscar a partir de patrones en muchos tipos de archivos. Teniendo en cuenta los términos clave comunes, podemos utilizar variaciones de este comando para descubrir credenciales en un objetivo Windows:
Get-ChildItem
Additional Considerations
Existen miles de herramientas y términos clave que podemos utilizar para buscar credenciales en sistemas operativos Windows. Sepa que las que elijamos utilizar se basarán principalmente en la función del ordenador. Si aterrizamos en un sistema operativo Windows Server, podemos utilizar un enfoque diferente que si aterrizamos en un sistema operativo Windows Desktop. Siempre hay que tener en cuenta cómo se utiliza el sistema, y esto nos ayudará a saber dónde buscar. A veces incluso podremos encontrar credenciales navegando y listando directorios en el sistema de archivos mientras se ejecutan nuestras herramientas.
Estos son algunos otros lugares que debemos tener en cuenta al buscar credenciales:
Passwords in Group Policy in the SYSVOL share
Passwords in scripts in the SYSVOL share
Password in scripts on IT shares
Passwords in web.config files on dev machines and IT shares
unattend.xml
Passwords in the AD user or computer description fields
KeePass databases --> pull hash, crack and get loads of access.
Found on user systems and shares
Files such as pass.txt, passwords.docx, passwords.xlsx found on user systems, shares, Sharepoint