Windows Windows自动部署过程中的一些凭证(base64)存储位置 C:unattend.xml C:WindowsPantherUnattend.xml C:WindowsPantherUnattendUnattend.xml C:Windowssystem32sysprep.inf C:Windowssystem32sysprepsysprep.xml 使用Metasploit的 post/windows/gather/enum_unattend 模块也可以获取到 IIS管理凭证的web.config文件常见路径: C:WindowsMicrosoft.NETFramework64v4.0.30319Configweb.config C:inetpubwwwrootweb.config 文件内容一般如下: <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <authentication mode="Windows"> <forms> <credentials passwordFormat="Clear"> <user name="Admin" password="Admin" /> </credentials> </forms> </authentication> </system.web> </configuration> 包含密码的groups.xml文件和其他一些可能存储凭证的文件 C:ProgramDataMicrosoftGroup PolicyHistory????MachinePreferencesGroupsGroups.xml \domainSYSVOL\Policies????MACHINEPreferencesGroupsGroups.xml ServicesServices.xml ScheduledTasksScheduledTasks.xml PrintersPrinters.xml DrivesDrives.xml DataSourcesDataSources.xml 命令查找 使用命令查找包含密码的文件: findstr /si password *.txt findstr /si password *.xml findstr /si password *.ini 查找文件的位置: C:> dir /b /s unattend.xml C:> dir /b /s web.config C:> dir /b /s sysprep.inf C:> dir /b /s sysprep.xml C:> dir /b /s *pass* C:> dir /b /s vnc.ini 第三方软件 McAfee McAfee的加密凭证存储在sitelist.xml文件中: %AllUsersProfile%Application DataMcAfeeCommon FrameworkSiteList.xml VNC UltraVNC [ultravnc] passwd=5FAEBBD0EF0A2413 RealVNC RealVNC的密码可以直接在注册表进行查询: reg query HKEY_LOCAL_MACHINESOFTWARERealVNCWinVNC4 /v password Putty reg query" HKCUSoftwareSimonTathamPuTTYSessions" 注册表 Registry某些情况下可能会包含凭证 reg query HKLM /f password /t REG_SZ /s reg query HKCU /f password /t REG_SZ /s Windows 自动登陆: reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentversionWinlogon" SNMP 相关参数: reg query "HKLMSYSTEMCurrentControlSetServicesSNMP" PowerSploit相关的模块 PowerSploit也可以用于发现存储的凭证,以下模块支持检查各种文件和注册表中的加密凭证和plain-text: Get-UnattendedInstallFile Get-Webconfig Get-ApplicationHost Get-SiteListPassword Get-CachedGPPPassword Get-RegistryAutoLogon