OnionT@KillBoy
6261,9344字数 0阅读0分0秒阅读模式
AI智能摘要
你是否知道,Windows系统中那些被遗忘的配置文件,正悄悄暴露着管理员的明文密码?从无人值守安装文件到组策略首选项,从IIS配置到VNC加密凭证,攻击者只需几条命令,就能挖出隐藏在系统角落的敏感信息。本文深度梳理红队常用的信息收集路径,揭秘Windows凭证泄露的九大高危场景,助你快速定位安全盲点。无论是渗透测试人员还是防御者,这份实战备忘录都将成为你不可或缺的参考指南。
— AI 生成的文章内容摘要
C:/unattend.xml C:/Windows/Panther/Unattend.xml C:/Windows/Panther/Unattend/Unattend.xml C:/Windows/system32/sysprep.inf C:/Windows/system32/sysprep/sysprep.xml
有一个Metasploit模块可以通过无人参与的安装来发现凭证:
post/windows/gather/enum_unattend
如果系统运行的是IIS服务器,则应检查web.config文件,因为它可能包含明文形式的管理员密码。该文件的位置通常在以下目录中:
C:/Windows/Microsoft.NET/Framework64/v4.0.30319/Config/web.config C:/inetpub/wwwroot/web.config
带有管理员凭据的web.config文件的示例如下所示:
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <authentication mode="Windows"> <forms> <credentials passwordFormat="Clear"> <user name="Admin" password="Admin" /> </credentials> </forms> </authentication> </system.web> </configuration>
还可以通过组策略检索本地管理员密码。包含密码的Groups.xml文件在本地缓存,或者可以从域控制器获取,因为每个域用户都对该文件具有读取权限。密码采用加密形式,但是microsoft已发布了密钥,可以对其进行解密。
C:/ProgramData/Microsoft/Group Policy/History/????/Machine/Preferences/Groups/Groups.xml //????/SYSVOL//Policies/????/MACHINE/Preferences/Groups/Groups.xml
除Group.xml文件外,cpassword属性还可以在其他策略首选项文件中找到,例如:
Services/Services.xml ScheduledTasks/ScheduledTasks.xml Printers/Printers.xml Drives/Drives.xml DataSources/DataSources.xml
Commands
除了手动浏览系统中的所有文件,还可以运行以下命令来发现包含单词password的文件:
findstr /si password *.txt findstr /si password *.xml findstr /si password *.ini
另外,从C盘执行以下命令将返回可能存储提升凭据的文件的位置:
C:/> dir /b /s unattend.xml C:/> dir /b /s web.config C:/> dir /b /s sysprep.inf C:/> dir /b /s sysprep.xml C:/> dir /b /s *pass* C:/> dir /b /s vnc.ini
第三方软件
McAfee
运行McAfee的大多数Windows系统密码都以加密方式存储在SiteList.xml文件中:
%AllUsersProfile%Application Data/McAfee/Common Framework/SiteList.xml
VNC
有时候,管理员比较喜欢使用VNC软件而不是Windows Terminal Services来进行系统的远程管理。密码已加密,但是有各种工具可以对其进行解密。
UltraVNC
passwd=5FAEBBD0EF0A2413
RealVNC
在RealVNC中,哈希密码位于以下注册表项中:
reg query HKEY_LOCAL_MACHINE/SOFTWARE/RealVNC/WinVNC4 /v password
Putty明文代理凭据可在以下目录中找到:
reg query" HKCU/Software/SimonTatham/PuTTY/Sessions"
Registry
可以查询注册表,因为在某些情况下可能包含凭据
reg query HKLM /f password /t REG_SZ /s reg query HKCU /f password /t REG_SZ /s
Windows自动登录:
reg query "HKLM/SOFTWARE/Microsoft/Windows NT/Currentversion/Winlogon"
SNMP参数:
reg query "HKLM/SYSTEM/Current/ControlSet/Services/SNMP"
PowerSploit
PowerSploit工具可以用来发现存储的凭证。它支持以下模块,这些模块将检查各种文件和注册表中的加密凭据或纯文本凭据:
Get-UnattendedInstallFile Get-Webconfig Get-ApplicationHost Get-SiteListPassword Get-CachedGPPPassword Get-RegistryAutoLogon
江苏省扬州市 1F
学习了,大神牛逼
浙江省嘉兴市 2F
大神可以给加个联系方式吗? 我qq 1109450752
陕西省咸阳市 3F
这玩意儿在实战里真能用?
四川省内江市 4F
之前搞过sysprep,确实留过密码😭
陕西省汉中市 B1
@ 拖延症俱乐部VIP sysprep搞完不清理等于留后门
陕西省铜川市 5F
web.config里存明文密码也太离谱了吧
安徽省芜湖市 B1
@ 影蚀狂徒 明文密码还敢放web.config,心真大
江苏省南京市 6F
findstr那几条命令收藏了,省事
日本 7F
VNC密码不是加密的吗?咋还能解?
韩国 B1
@ 番茄酱小可爱 VNC加密是摆设,网上一堆解密工具
陕西省西安市 8F
Groups.xml那个cpassword早被微软废了啊
菲律宾 9F
dir /s *pass* 有时候卡半天,有更快的法子没?
澳大利亚 10F
McAfee那个路径现在还有效?我试了没找到
日本 B1
@ 迷糊小浣熊 McAfee路径早变了,你用的啥版本?
湖南省郴州市 11F
hhhh 管理员图省事把自己坑了
日本 12F
自动登录开的机器,等于白送权限😂
江苏省无锡市 13F
这破系统真敢存明文密码啊😂
北京市 14F
findstr太慢了,试试es?贼快
韩国 15F
web.config放密码,这操作666
浙江省嘉兴市 16F
Groups.xml虽然废了,但老系统还活着呢
海南省海口市 B1
@ 憨象稳重 老系统就是定时炸弹啊
澳大利亚 17F
自动登录那一堆注册表项,纯送分题
安徽省合肥市 18F
McAfee那路径得看版本,新版改了
浙江省湖州市 19F
实战当然能用,上周刚靠unattend拿下一台
澳大利亚 20F
那个*pass*搜索,建议加上大小写忽略
陕西省延安市 21F
这招真管用,直接翻车。
黑龙江省哈尔滨市 22F
没想到unattend里还能明文存密码,太刺激。
浙江省金华市 23F
加上 /i 参数可以忽略大小写搜索。
湖北省武汉市 24F
那cpassword解密的工具还能在新版系统上跑吗?
北京市 25F
我之前玩过sysprep,真被明文密码坑过。
广东省深圳市 26F
这玩意儿明明是坑,竟然还被写进文档。
浙江省 27F
web.config里放Admin密码,我笑到抽筋😂
澳大利亚 28F
自动登录那堆键值,简直送钥匙给黑客。
湖南省衡阳市 29F
findstr命令挺省事,但在C盘大目录下跑起来真慢,卡死CPU。
浙江省杭州市 30F
如果系统启用了BitLocker,unattend.xml还能直接读到明文密码吗?要不要先挂载卷再搜索?
湖南省郴州市 31F
sysprep那密码真是坑,我中过招。
日本 32F
记一下命令,回头试试。
印度 33F
搞渗透的可以收藏了。
巴基斯坦 34F
所以这些路径都能直接访问吗?
韩国 35F
VNC密码我记得有工具能解,但忘了名字。
日本 36F
自动登录那也太草率了。
山东省潍坊市 37F
unattend.xml这个坑是挺深的。
北京市朝阳区 B1
@ ThunderBlade 确实,一不小心就留后门了
韩国 38F
*pass*搜索可以用PowerShell的Select-String,快一点。
北京市 39F
web.config放密码,这管理员心真大。
四川省广元市 40F
Groups.xml那个解密工具还有人在维护吗?
湖北省神农架林区 41F
McAfee新版路径换了,老系统还能用。
山东省泰安市 42F
实战确实好用,但也得看环境。
北京市 43F
哪来的大神,这就牛逼了?
韩国 44F
BitLocker锁了盘,文件都读不了,得先解密挂载。
日本 45F
unattend.xml里明文密码简直送人头
福建省福州市 46F
findstr跑C盘直接卡成PPT,有没轻量点的法子?
河南省驻马店市 47F
sysprep那套我踩过坑,密码真就明文躺着
印度 48F
VNC解密工具叫vncpwd,老好用了
山东省滨州市 49F
自动登录开等于大门敞开,离谱
浙江省宁波市 50F
Groups.xml虽然废了但内网扫到还是香
北京市 51F
web.config存密码这操作笑死😂
湖南省衡阳市 52F
dir /s *pass* 太慢了,不如用everything搜
内蒙古包头市 53F
cpassword解密在Win10还能用吗?
日本 54F
之前搞内网渗透靠unattend.xml直接提权
印度 55F
PuTTY那个明文代理有点坑啊
韩国 56F
PuTTY会话里存代理密码这事很多人不知道吧