Cuidado com o que você envia para a Lixeira!
Cuidado com o que você envia para a Lixeira!
Como sabe é comum utilizar a Lixeira do Windows para dispensar aqueles arquivos que não utilizamos mais. Porém devemos redobrar a atenção para o que enviamos para a Lixeira, pois a Segurança dos seus dados ou da sua empresa podem estar em jogo.
Durante um PenTest você pode ate considerar incluir este passo a passo para tentar extrair informações sensíveis sobre o ambiente e auxiliar a equipe de Segurança a fim de melhorar a abordagem e os pontos de atenção durante a campanha de Conscientização sobre Segurança da Informação para os funcionários.
Observações:
- Administradores de Redes não armazenem senhas em arquivos de texto, planilhas. (Utilize um Cofre de Senhas).
01 Passo
Para extrair os arquivos da Lixeira de um usuário é necessário descobrir qual SID do usuário. Para isso basta executar o comando:
C:\100security>wmic useraccount get Name,SID
02 Passo
Entre no diretório C:\ e execute o comando dir /a para exibir todas as pastas ocultas.
Você deve encontrar a pasta: $Recycle.Bin
- C:\$Recycle.Bin – Windows Vista ou Superior
- C:\RECYCLER – Windows NT/2000/XP
- C:\RECYCLED – Windows 95/98/ME
C:\100security>cd \
C:\>dir /a
03 Passo
Acesse a pasta $Recycle.Bin e digite o comando dir /a para visualizar a pasta correspondente ao usuário que deseja acessar.
No meu exemplo a pasta S-1-5-21-1214171880-496033222-1301047076-1010 correspondente ao usuário 100security (01 Passo).
C:\>cd $Recycle.Bin
C:\$Recycle.Bin> dir /a
04 Passo
Acesse a pasta S-1-5-21-1214171880-496033222-1301047076-1010 e visualize os arquivos que estão armazenados na Lixeira utilizando o comando dir.
Observações:
- $Ixxxxx – São os Metadados dos arquivos.
- $Rxxxxx – São os arquivos com conteúdo.
C:\$Recycle.Bin>cd S-1-5-21-1214171880-496033222-1301047076-1010
C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>
05 Passo
Criei uma pasta (ex: Lixeira) para copiar todo os arquivos da Lixeira do usuário, em seguida realize a copia dos arquivos que iniciam com $R.
C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>md C:\100security\Lixeira
C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>copy $R* C:\100security\Lixeira
06 Passo
Acesse a pasta (ex: C:\100security\Lixeira) para visualizar os arquivos.
Arquivo de texto com Senhas: $ROI2QI3.txt
Atenção!!!
Com as informações encontradas na Lixeira um usuário mal intencionado poderia ter acesso aos servidores da sua empresa.
Comentários
Postar um comentário