search

Hard-coding Credentials

하드코딩된 크리덴셜 정보는 환경을 구분하지 않고 중요한 정보입니다. 의도적으로 취약하게끔 설정되어 제로데이, CVE 등을 심어둔 머신 환경들과는 다르게 실무에서는 의외로 하드코딩 된 정보, 크리덴셜 스터핑 같은 공격으로 인한 영향력이 큽니다. Windows에서는 아래와 같은 커맨드에서 탐색 입력값을 바꿈에 따라 파일을 탐색할 수 있습니다.

  1. 특정 경로 하위 원하는 확장자로부터 특정 텍스트를 탐색

Get-ChildItem -Path C:\ -Recurse -Force -Include *.config,*.xml,*.ini,*.txt -ErrorAction SilentlyContinue | Select-String -Pattern "(?i)passw"

  1. 특정한 이름의 파일의 존재를 탐색

Get-ChildItem -Path C:\ -Recurse -Force -ErrorAction SilentlyContinue -Filter "web.config"

  1. 파워쉘 히스토리 조회 

cat (Get-PSReadlineOption).HistorySavePath

다음은 존재하는지, 접근이 가능한지, 파일 안에 크리덴셜 정보가 있는지 확인해야 할 주요 파일입니다. 목록에 있는 파일 이름을 와일드카드 그대로 사용해 탐색합니다. 탐색 이후에는 "passw" 혹은 확인한 로컬 유저 이름 등을 필터에 넣고 Select-String으로 찾습니다.

  1. web.config

  2. Groups.xml

  3. app.config

  4. settings.xml

  5. initconfig.xml

  6. config.json

  7. setting.json

  8. identity.xml

  9. task.xml

PreviousDPAPINextSeBackupPrivilege

Last updated