:::info 凭据收集是用于获取用户和系统凭据访问权限的术语,这是一种查找或者窃取存储凭据的技术,包括: 网络嗅探

凭据可以以各种不同的形式找到:

  • 账户详细信息
  • NTLM 哈系
  • 身份验证票证: TGT / TGS
  • 其他

:::

凭证访问

明文文件

在我们渗透中,我们经常查看的一些文件为:

  • 命令历史记录
  • 配置文件
  • 与 Windows 应用程序相关的其他文件
  • 备份文件
  • 共享文件和文件夹
  • 注册表
  • 源代码

PowerShell 的命令保存在用户的历史记录文件中:

  1. C:\Users\{USER}\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

我们有时候也会在注册表中查找一些关键内容: 在 Windows 注册表中查找 “Password”

  1. c:\Users\user> reg query HKLM /f password /t REG_SZ /s
  2. #OR
  3. C:\Users\user> reg query HKCU /f password /t REG_SZ /s

数据库文件

密码管理器

密码管理器是一种用于存储和管理本地互联网网站和服务的用户登录信息的应用程序。

密码管理器应用程序示例:

  • 内置密码管理器
  • 第三方:KeePass 1Password LastPass

内存转储

在操作系统的内存中可能包含的敏感数据:

  • 明文凭据
  • 缓存密码
  • AD 票

Active Directory

AD 中会存储许多与用户/组/计算机相关的信息

  • 用户描述: 一些员工的密码可能会存储在该位置
  • SYSVOL :
  • NTDS : 包含 AD 用户的凭证
  • AD 攻击:

网络嗅探

针对网络协议进行中间人特你中间人攻击,以获取身份验证信息