| Bestand | Wat het doet |
|---|
cred_minidump | LSASS dumpen via comsvcs.dll en rundll32. Geen extra tools nodig — het zit al op de machine. De machine levert je de sleutels. Je hoeft ze alleen maar aan te pakken. |
cred_sam_dump | SAM en SYSTEM registry hives kopiëren en offline kraken. De lokale wachtwoorddatabase van Windows. Op de machine. Onversleuteld beschikbaar als je SYSTEM bent. Wat je straks bent. |
cred_lsass_ppldump | LSASS dumpen als PPL (Protected Process Light) is ingeschakeld. Iets lastiger, maar niet onmogelijk. Niets is onmogelijk. Sommige dingen zijn alleen onhandig. |
cred_token_impersonate | Token impersonation: de security token van een andere gebruiker stelen en die identiteit aannemen. Windows maakt het makkelijker dan het zou moeten zijn. Aanzienlijk makkelijker. Verontrustend makkelijker. |
cred_dpapi | DPAPI-versleutelde secrets ontsleutelen met de domain backup key. Opgeslagen wachtwoorden, Wi-Fi-sleutels, certificaat private keys. DPAPI beschermt ze. De backup key ontsluit ze allemaal. Het is een kluissleutel. Voor alle kluizen tegelijk. |
cred_browser | Opgeslagen wachtwoorden uit Chrome, Edge, Firefox en andere browsers dumpen. Jarenlang heeft de gebruiker “wachtwoord onthouden” geklikt. Nu onthoud jij ze ook. Het is een collectie. Een heel persoonlijke collectie. |
cred_cached_dcc2 | Domain Cached Credentials (DCC2) extraheren: de laatste 10-25 domeinlogins die Windows lokaal opslaat. Voor als de DC niet bereikbaar is. Of voor als jij de DC niet nodig hebt omdat je de hashes al hebt. |
cred_ntds_dump | NTDS.dit dumpen: de volledige Active Directory database met alle wachtwoord-hashes. Volume Shadow Copy, ntdsutil, of secretsdump. Het is het verschil tussen één sleutel stelen en de hele sleutelbos kopiëren. |
cred_responder | Responder: LLMNR/NBT-NS/mDNS-verzoeken beantwoorden en NTLMv2-hashes opvangen. De machine vraagt “wie is fileserver01?” en jij antwoordt “ik.” De machine gelooft je. De machine heeft vertrouwensproblemen. Daar profiteer jij van. |
cred_laps | LAPS-wachtwoorden uitlezen uit Active Directory. Het lokale admin-wachtwoord dat LAPS zo zorgvuldig roteert, staat gewoon in een AD-attribuut. Je moet alleen de juiste rechten hebben. En die heb je net gekregen. Via een andere misconfiguratie. Het is een keten. Het is altijd een keten. |
cred_gmsa | Group Managed Service Account wachtwoorden extraheren en converteren. Het wachtwoord is 256 tekens lang. Indrukwekkend. Het staat in een AD-attribuut dat je kunt lezen als je in de juiste groep zit. Minder indrukwekkend. |
cred_credssp | CredSSP-sessies exploiteren voor credential theft en double-hop authenticatie. De credentials zitten in het geheugen van de doelmachine. Omdat dat is hoe CredSSP werkt. Het is een feature. Een hele ongelukkige feature. |
cred_sccm_decrypt | SCCM Network Access Account en task sequence credentials ontsleutelen. SCCM slaat wachtwoorden versleuteld op. De sleutel staat op elke SCCM-client. Dat is alsof je de kluis op slot doet en de sleutel op de deurmat legt. Met een briefje “sleutel.” |