search

Otros archivos

Rastrear unidades compartidas de red en un entorno de Active Directory con Snaffler en busca de extensiones de archivos como .kdbx, .vmdk, .vdhx, .ppk, etc.

Buscar String en el contenido

cd c:\Users\htb-student\Documents & findstr /SI /M "password" *.xml *.ini *.txt
findstr /si password *.xml *.ini *.txt *.config
findstr /spin "password" *.*
select-string -Path C:\Users\htb-student\Documents\*.txt -Pattern password
dir /S /B *pass*.txt == *pass*.xml == *pass*.ini == *cred* == *vnc* == *.config*
where /R C:\ *.config

Buscar extensiones de archivos usando PowerShell

Get-ChildItem C:\ -Recurse -Include *.rdp, *.config, *.vnc, *.cred -ErrorAction Ignore

Buscar archivos DB de las StickyNotes. Transferir los archivos encontrados a nuestra máquina y verlos con DB Browser for SQLitearrow-up-right o desde PowerShell con PSSQLite modulearrow-up-right, primero importando el módulo, apuntar a la fuente de datos, y consultar la tabla Note.

ls C:\Users\<user>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\
Set-ExecutionPolicy Bypass -Scope Process
cd .\PSSQLite\
Import-Module .\PSSQLite.psd1
$db = 'C:\Users\htb-student\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite'
Invoke-SqliteQuery -Database $db -Query "SELECT Text FROM Note" | ft -wrap

Utilizar el comando strings para buscar a través de los datos.

strings plum.sqlite-wal

Otros archivos intersantes en donde se pueden encontrar credenciales

PreviousMiscellaneous TechniquesNextPillaging

Last updated