Como sabe é comum utilizar a Lixeira do Windows para dispensar aqueles arquivos que não utilizamos mais. Porém devemos redobrar a atenção para o que enviamos para a Lixeira, pois a Segurança dos seus dados ou da sua empresa podem estar em jogo.

Durante um PenTest você pode ate considerar incluir este passo a passo para tentar extrair informações sensíveis sobre o ambiente e auxiliar a equipe de Segurança a fim de melhorar a abordagem e os pontos de atenção durante a campanha de Conscientização sobre Segurança da Informação para os funcionários.

Observações
Administradores de Redes não armazenem senhas em arquivos de texto, planilhas. (Utilize um Cofre de Senhas).

01 - Passo

Para extrair os arquivos da Lixeira de um usuário é necessário descobrir qual SID do usuário. Para isso basta executar o comando:

Windows
C:\100security>wmic useraccount get Name,SID

02 - Passo

Entre no diretório C:\ e execute o comando dir /a para exibir todas as pastas ocultas.

Você deve encontrar a pasta: $Recycle.Bin

  • C:\$Recycle.Bin : Windows Vista ou Superior
  • C:\RECYCLER : Windows NT/2000/XP
  • C:\RECYCLED : Windows 95/98/ME
Windows
C:\100security>cd \

C:\>dir /a

03 - Passo

Acesse a pasta $Recycle.Bin e digite o comando dir /a para visualizar a pasta correspondente ao usuário que deseja acessar.

No meu exemplo a pasta S-1-5-21-1214171880-496033222-1301047076-1010 correspondente ao usuário 100security (01 - Passo).

Windows
C:\>cd $Recycle.Bin

C:\$Recycle.Bin> dir /a

04 - Passo

Acesse a pasta S-1-5-21-1214171880-496033222-1301047076-1010 e visualize os arquivos que estão armazenados na Lixeira utilizando o comando dir.

Observações :

  • $Ixxxxx – São os Metadados dos arquivos.
  • $Rxxxxx – São os Arquivos com conteúdo.
Windows
C:\$Recycle.Bin>cd S-1-5-21-1214171880-496033222-1301047076-1010

C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>dir

05 - Passo

Criei uma pasta (ex: Lixeira) para copiar todo os arquivos da Lixeira do usuário, em seguida realize a copia dos arquivos que iniciam com $R.

Windows
C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>md C:\100security\Lixeira

C:\$Recycle.Bin\S-1-5-21-1214171880-496033222-1301047076-1010>copy $R* C:\100security\Lixeira

06 - Passo

Acesse a pasta (ex: C:\100security\Lixeira) para visualizar os arquivos.

Arquivo de texto com Senhas : $ROI2QI3.txt.

Atenção

Com as informações encontradas na Lixeira um usuário mal intencionado poderia ter acesso aos servidores da sua empresa.



  Autor

Marcos Henrique

 São Paulo/SP



  Ferramentas Forense

© 2020 - 100SECURITY

Contato