# Unattended File

Unattended 파일은 Windows 운영체제의 설치를 자동화 하기 위한 설정 파일 입니다. 주로 기업에서 사원들의 Windows 계정을 배포할 때 특정 설정이나 구성을 미리 정해두고, 그 이후의 설치에서는 사용자의 개입 없이 기존에 설정해둔 값들을 모두 동일하게 따르도록 할 수 있습니다.

이 파일의 문제점은 Windows OS에서 기본으로 존재하는 Administrator 등의 관리자 암호가 Base64 혹은 평문으로 저장된다는 것입니다. 주로 확인해봐야 할 경로는 다음과 같습니다.

```
C:\unattend.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\system32\sysprep.inf
C:\Windows\system32\sysprep\sysprep.xml
```

C:\Windows 하위에서 위와 같은 4가지 형식의 파일을 탐색하는 파워쉘 명령어를 사용합니다.

```
Get-ChildItem -Path C:\Windows -Recurse -Force -ErrorAction SilentlyContinue -Include 'Unattend.xml','Unattended.xml','sysprep.inf','sysprep.xml'
```

```
PS C:\Windows\Panther> cat .\unattend.xml
...   
         <UserAccounts>
        <AdministratorPassword>
          <Value>Passw0rd</Value>
          <PlainText>true</PlainText>
        </AdministratorPassword>
      </UserAccounts>
...
```

파일이 발견되었다면 중점적으로 확인해야 하는 사항은 \<UserAccounts> 태그와 \<RunSynchronousCommand> 입니다. 이 안에서 하드코딩 된 계정 정보 혹은 Base64 인코딩 된 정보가 있는지를 탐색합니다.

## References

{% embed url="<https://cloudbase.it/wp-content/uploads/2016/07/unattended.xml>" %}

{% embed url="<https://pentestlab.blog/tag/unattend/>" %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://www.pentestwiki.com/data-theft/windows/unattended-file.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.