Cuidado com o que você envia para a Lixeira!

Por: Marcos Henrique | 292 Views | 2 Respostas

Como sabe é comum utilizar a Lixeira do Windows para dispensar aqueles arquivos que não utilizamos mais. Porém devemos redobrar a atenção para o que enviamos para a Lixeira, pois a Segurança dos seus dados ou da sua empresa podem estar em jogo.

Durante um PenTest você pode ate considerar incluir este passo a passo para tentar extrair informações sensíveis sobre o ambiente e auxiliar a equipe de Segurança a fim de melhorar a abordagem e os pontos de atenção durante a campanha de Conscientização sobre Segurança da Informação para os funcionários.

Observações:

• Administradores de Redes não armazenem senhas em arquivos de texto, planilhas. (Utilize um Cofre de Senhas).

01 Passo

Para extrair os arquivos da Lixeira de um usuário é necessário descobrir qual SID do usuário. Para isso basta executar o comando:

C:\100security>wmic useraccount get Name,SID

02 Passo

Entre no diretório C:\ e execute o comando dir /a para exibir todas as pastas ocultas.

Você deve encontrar a pasta: $Recycle.Bin

• C:\$Recycle.Bin – Windows Vista ou Superior
• C:\RECYCLER – Windows NT/2000/XP
• C:\RECYCLED – Windows 95/98/ME 

C:\100security>cd \

C:\>dir /a

03 Passo

Acesse a pasta $Recycle.Bin e digite o comando dir /a para visualizar a pasta correspondente ao usuário que deseja acessar.

No meu exemplo a pasta S-1-5-21-1214171880-496033222-1301047076-1010 correspondente ao usuário 100security (01 Passo).

C:\>cd $Recycle.Bin

C:\$Recycle.Bin> dir /a

04 Passo

Acesse a pasta S-1-5-21-1214171880-496033222-1301047076-1010 e visualize os arquivos que estão armazenados na Lixeira utilizando o comando dir.

Observações:

• $Ixxxxx – São os Metadados dos arquivos.
• $Rxxxxx – São os arquivos com conteúdo. 

C:\$Recycle.Bin>cd S-1-5-21-1214171880-496033222-1301047076-1010

C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>

05 Passo

Criei uma pasta (ex: Lixeira) para copiar todo os arquivos da Lixeira do usuário, em seguida realize a copia dos arquivos que iniciam com $R.

C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>md C:\100security\Lixeira

C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>copy $R* C:\100security\Lixeira

06 Passo

Acesse a pasta (ex: C:\100security\Lixeira) para visualizar os arquivos.

Arquivo de texto com Senhas: $ROI2QI3.txt

Atenção!!!

Com as informações encontradas na Lixeira um usuário mal intencionado poderia ter acesso aos servidores da sua empresa.

Categorias: Análise de Vulnerabilidade, Ferramentas de Relatórios, Pentest, Todos os Artigos, Windows | Palavras-chave: $Recycle.Bin, Lixeira, Pentest, Recovery, Recuperação de Dados, Recuperar, Recycled, Recycler, Senhas, Trash

Autor

Marcos Henrique

Marcos Henrique é pós-graduado em Segurança da Informação, é o desenvolvedor do site 100security.com.br, autor dos livros Nagios – Monitoramento de Redes e ownCloud – Crie sua Própria Nuvem publicados pela editora Ciência Moderna.