Unattended File

Unattended 파일은 Windows 운영체제의 설치를 자동화 하기 위한 설정 파일 입니다. 주로 기업에서 사원들의 Windows 계정을 배포할 때 특정 설정이나 구성을 미리 정해두고, 그 이후의 설치에서는 사용자의 개입 없이 기존에 설정해둔 값들을 모두 동일하게 따르도록 할 수 있습니다.

이 파일의 문제점은 Windows OS에서 기본으로 존재하는 Administrator 등의 관리자 암호가 Base64 혹은 평문으로 저장된다는 것입니다. 주로 확인해봐야 할 경로는 다음과 같습니다.

C:\unattend.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\system32\sysprep.inf
C:\Windows\system32\sysprep\sysprep.xml

C:\Windows 하위에서 위와 같은 4가지 형식의 파일을 탐색하는 파워쉘 명령어를 사용합니다.

Get-ChildItem -Path C:\Windows -Recurse -Force -ErrorAction SilentlyContinue -Include 'Unattend.xml','Unattended.xml','sysprep.inf','sysprep.xml'

PS C:\Windows\Panther> cat .\unattend.xml
...   
         <UserAccounts>
        <AdministratorPassword>
          <Value>Passw0rd</Value>
          <PlainText>true</PlainText>
        </AdministratorPassword>
      </UserAccounts>
...

파일이 발견되었다면 중점적으로 확인해야 하는 사항은 <UserAccounts> 태그와 <RunSynchronousCommand> 입니다. 이 안에서 하드코딩 된 계정 정보 혹은 Base64 인코딩 된 정보가 있는지를 탐색합니다.

References

https://cloudbase.it/wp-content/uploads/2016/07/unattended.xmlcloudbase.it

Unattend – Penetration Testing LabPenetration Testing Lab

PreviousWindows NextDPAPI

Last updated 9 months ago

hashtagReferences

References