Durante um PenTest você pode ate considerar incluir este passo a passo para tentar extrair informações sensíveis sobre o ambiente e auxiliar a equipe de Segurança a fim de melhorar a abordagem e os pontos de atenção durante a campanha de Conscientização sobre Segurança da Informação para os funcionários.
Observações:
Administradores de Redes não armazenem senhas em arquivos de texto, planilhas. (Utilize um Cofre de Senhas).
01 ) Para extrair os arquivos da Lixeira de um usuário é necessário descobrir qual SID do usuário. Para isso basta executar o comando:
C:\marrocamp>wmic useraccount get Name,SID
02 ) Entre no diretório C:\ e execute o comando dir /a para exibir todas as pastas ocultas.Você deve encontrar a pasta: $Recycle.Bin
C:\RECYCLER – Windows NT/2000/XP
C:\RECYCLED – Windows 95/98/ME
C:\marrocamp>cd \
C:\>dir /a
3) Acesse a pasta $Recycle.Bin e digite o comando dir /a para visualizar a pasta correspondente ao usuário que deseja acessar.
No meu exemplo a pasta S-1-5-21-2603634268-333812968-3880080425-1001 correspondente ao usuário marrocamp (01 Passo).
C:\>cd $Recycle.Bin
C:\$Recycle.Bin> dir /a
4) Acesse a pasta S-1-5-21-2603634268-333812968-3880080425-1001 e visualize os arquivos que estão armazenados na Lixeira utilizando o comando dir.
Obs:
$Ixxxxx – São os Metadados dos arquivos.
$Rxxxxx – São os arquivos com conteúdo.
C:\$Recycle.Bin>cd S-1-5-21-2603634268-333812968-3880080425-1001
C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>
5) Criei uma pasta (ex: Lixeira) para copiar todo os arquivos da Lixeira do usuário, em seguida realize a copia dos arquivos que iniciam com $R.
C:\$Recycle.Bin\S-1-5-21-2603634268-333812968-3880080425-1001>md C:\marrocamp\Lixeira
C:\$Recycle.Bin\S-1-5-21-2603634268-333812968-3880080425-1001>copy $R* C:\marrocamp\Lixeira
6) Acesse a pasta (ex: C:\marrocamp\Lixeira) para visualizar os arquivos.
Arquivo de texto com Senhas: $RTSIC71.txt
Atenção !!!!
Com as informações encontradas na Lixeira um usuário mal intencionado poderia ter acesso
aos servidores da sua empresa.