Windows Bilgisayarda Powershell Komutları ile Disk Sistemindeki Kritik Bilgilerinin Elde Edilmesi

Sızma testleri sırasında komut satırı elde edilebilmiş bir bilgisayarda kritik bilgi elde edilmeye çalışılır. Bu yazıda, Windows işletim sisteminin disk sisteminde kayıtlı olabilecek parola bilgileri basit bir Powershell betiği ile tespit edilmeye çalışılacaktır.

Powershell Get-ChildItem fonksiyonu ile belirli dizindeki ve formattaki dosya içerikleri okunabilir. Bunun yanında, Select-String fonksiyonu ile de dosya içeriğinden veriler filtrelenebilir. Windows 7 bir bilgisayarın C:\ diskinde kayıtlı olabilecek kritik bilgiler aşağıdaki komut ile listelenebilir ve bir dosyaya yazdırılabilir.

Get-ChildItem -Path C:\Users, C:\Araclar -Include *.txt, *.log, *.bat, *.reg, *.cs, *.sql, *.ps1, *.config, *.properties, *.xml, *.conf -Recurse -ErrorAction SilentlyContinue -Force | Select-String -Pattern Password, password, Şifre, şifre, Parola, parola, Sifre, sifre, root, admin -casesensitive > C:\KritikBilgiler.txt

Not: Bir diskin tamamının verilmesi için “D:\” ifadesi kullanılabilir. Ancak bu şekilde kullanımın uzun sürebileceği göz önünde bulundurulmalıdır.

İpucu: Windows işletim sisteminde içerisinde kritik bilgi bulunabilecek dosya uzantıları aşağıdaki gibi sıralanabilir.

txt, log, bat, reg, cs, sql, ps1, config, properties , ora, xml, java, doc, docx, pdf, xls, xlsx, csv, html, xhtml, htm, cmd, php, py, rb, sh, vbs, c, cfg, mhtml, asp, aspx, jsp, pl, eml, ini, inf

 

http://en.wikipedia.org/wiki/List_of_file_formats