<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Credential Dumping on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/credential-dumping/</link><description>Recent content in Credential Dumping on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Fri, 17 Jul 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/credential-dumping/index.xml" rel="self" type="application/rss+xml"/><item><title>Credential Dumping su Windows: LSASS, SAM, DPAPI e NTDS.dit</title><link>https://hackita.it/articoli/credential-dumping/</link><pubDate>Fri, 17 Jul 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/credential-dumping/</guid><description>&lt;h1
 id="credential-dumping-su-windows-lsass-sam-lsa-e-dpapi" class="group/anchor-heading"&gt;
 Credential Dumping su Windows: LSASS, SAM, LSA e DPAPI
 &lt;a href="#credential-dumping-su-windows-lsass-sam-lsa-e-dpapi" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Il credential dumping è l&amp;rsquo;estrazione di credenziali — hash NTLM, ticket Kerberos, password in chiaro — dalla memoria di processo (LSASS), dal database locale (SAM), dai segreti LSA o da vault cifrati (DPAPI e Credential Manager). Le credenziali ottenute alimentano &lt;a href="https://hackita.it/articoli/pass-the-hash/"&gt;Pass-the-Hash&lt;/a&gt;, &lt;a href="https://hackita.it/articoli/lateral-movement/"&gt;lateral movement&lt;/a&gt; e DCSync.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;Secondo il Verizon Data Breach Investigations Report 2025, l’abuso di credenziali compromesse ha rappresentato il 22% dei vettori di accesso iniziale nelle violazioni analizzate. Dopo la compromissione di un sistema, il credential dumping consente agli attaccanti di estrarre hash, password e altro materiale di autenticazione dalla memoria o dalle strutture del sistema, utilizzandolo successivamente per aumentare i privilegi e muoversi lateralmente nella rete.&lt;/p&gt;</description></item><item><title>Post-Exploitation Windows e Active Directory: Guida Completa</title><link>https://hackita.it/articoli/post-exploitation/</link><pubDate>Thu, 16 Jul 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/post-exploitation/</guid><description>&lt;h1
 id="post-exploitation-windows-e-active-directory-dal-foothold-allobiettivo" class="group/anchor-heading"&gt;
 Post-Exploitation Windows e Active Directory: dal Foothold all&amp;rsquo;Obiettivo
 &lt;a href="#post-exploitation-windows-e-active-directory-dal-foothold-allobiettivo" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Ottenere una shell è il punto di partenza, non il traguardo. La differenza tra un foothold e un obiettivo raggiunto sta nel metodo con cui si sfrutta quell&amp;rsquo;accesso iniziale. Una sessione post-exploitation gestita male — comandi rumorosi, tool lasciati su disco, dumping indiscriminato — viene rilevata prima di arrivare da nessuna parte.&lt;/p&gt;
&lt;p&gt;Il post-exploitation non è una sequenza fissa di comandi. È un ciclo decisionale che si adatta ai privilegi ottenuti, alle protezioni presenti sul sistema (Credential Guard, LSA protection, EDR) e allo scope dell&amp;rsquo;engagement. Dopo la situational awareness, credential access e privilege escalation vengono valutati &lt;strong&gt;in parallelo&lt;/strong&gt;, non in ordine rigido: a volte serve scalare prima di poter accedere alle credenziali, altre volte è il contrario.&lt;/p&gt;</description></item><item><title>impacket-secretsdump: Dump di Hash e Credenziali Windows</title><link>https://hackita.it/articoli/secretsdump/</link><pubDate>Wed, 15 Jul 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/secretsdump/</guid><description>&lt;h1
 id="impacket-secretsdump-guida-al-dump-di-credenziali-windows-e-active-directory" class="group/anchor-heading"&gt;
 impacket-secretsdump: Guida al Dump di Credenziali Windows e Active Directory
 &lt;a href="#impacket-secretsdump-guida-al-dump-di-credenziali-windows-e-active-directory" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;&lt;code&gt;impacket-secretsdump&lt;/code&gt; estrae credenziali da sistemi Windows — hash NTLM, chiavi Kerberos AES, LSA secrets, cached credentials, password history — senza eseguire alcun agente o binario sul target. Opera via SMB, WMI e il protocollo di replica AD (DRSUAPI) usando esclusivamente credenziali valide.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;code&gt;secretsdump.py&lt;/code&gt; (distribuito come &lt;code&gt;impacket-secretsdump&lt;/code&gt; su Kali) è parte del framework &lt;a href="https://hackita.it/articoli/impacket/"&gt;Impacket&lt;/a&gt;. È lo strumento di credential dumping remoto più usato nei pentest Windows perché non richiede upload di tool sul target — tutto avviene via protocolli di rete standard, usando le credenziali dell&amp;rsquo;account compromesso.&lt;/p&gt;</description></item><item><title>Mimipenguin: Dump Credenziali Linux da Memoria (Post-Exploitation)</title><link>https://hackita.it/articoli/mimipenguin/</link><pubDate>Tue, 17 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/mimipenguin/</guid><description>&lt;h3
 id="introduzione" class="group/anchor-heading"&gt;
 Introduzione
 &lt;a href="#introduzione" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h3&gt;&lt;p&gt;Mimipenguin è un tool Python/Bash che estrae &lt;strong&gt;credenziali in chiaro dalla memoria&lt;/strong&gt; di processi Linux. È l&amp;rsquo;equivalente Linux di &lt;a href="https://hackita.it/articoli/mimikatz"&gt;Mimikatz&lt;/a&gt;: invece di cercare password salvate su disco (browser, config files), Mimipenguin le estrae direttamente dalla RAM dove i processi le tengono temporaneamente.&lt;/p&gt;
&lt;p&gt;Quando un utente fa login su Linux (via SSH, GUI, o console), le credenziali passano attraverso vari processi (sshd, gdm, lightdm, systemd). Questi processi mantengono password in memoria per autenticazione PAM. Mimipenguin scansiona la memoria di questi processi e estrae le password prima che vengano cancellate.&lt;/p&gt;</description></item><item><title>LaZagne: Estrazione Password da Browser e Applicazioni</title><link>https://hackita.it/articoli/lazagne/</link><pubDate>Mon, 16 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/lazagne/</guid><description>&lt;p&gt;LaZagne è un tool open source Python che recupera &lt;strong&gt;password salvate&lt;/strong&gt; da centinaia di applicazioni su Windows, Linux e macOS. A differenza di tool specifici per singole applicazioni, LaZagne supporta browser (Chrome, Firefox, Edge), client email (Outlook, Thunderbird), database (&lt;a href="https://hackita.it/articoli/mysql"&gt;MySQL&lt;/a&gt;, &lt;a href="https://hackita.it/articoli/postgresql"&gt;PostgreSQL&lt;/a&gt;), WiFi, SSH, FTP clients, e molti altri.&lt;/p&gt;
&lt;p&gt;Il problema nel post-exploitation è che le credenziali sono ovunque: browser salvano password, client FTP memorizzano server credentials, applicazioni custom usano config files con password in chiaro. Cercare manualmente richiede ore e conoscenza specifica di ogni applicazione. LaZagne automatizza questo processo: esegui una volta, ottieni tutte le password recuperabili.&lt;/p&gt;</description></item><item><title>DCSync: Dump delle Credenziali Active Directory via Replication Abuse</title><link>https://hackita.it/articoli/dcsync/</link><pubDate>Tue, 10 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/dcsync/</guid><description>&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;Executive Summary&lt;/strong&gt; — DCSync è una delle tecniche più potenti nel pentest Active Directory. Permette di estrarre l&amp;rsquo;hash NTLM di qualsiasi utente del dominio — incluso &lt;code&gt;krbtgt&lt;/code&gt; (per il Golden Ticket) e tutti i Domain Admin — senza eseguire codice sul Domain Controller, senza toccare il file NTDS.dit e senza privilegi di amministratore locale sul DC. L&amp;rsquo;attacco sfrutta il protocollo di replica dei Domain Controller (MS-DRSR): un attacker con i permessi giusti chiede al DC &amp;ldquo;mandami gli hash di questo utente&amp;rdquo; e il DC risponde, credendo di parlare con un altro Domain Controller. È il path definitivo per il dominio completo.&lt;strong&gt;TL;DR&lt;/strong&gt;DCSync simula un Domain Controller che richiede la replica: il DC legittimo restituisce gli hash NTLM degli utenti.Permessi richiesti:
DS-Replication-Get-Changes&lt;br&gt;
DS-Replication-Get-Changes-All&lt;br&gt;
DS-Replication-Get-Changes-In-Filtered-SetCon l&amp;rsquo;hash di krbtgt puoi forgiare un Golden Ticket e ottenere accesso persistente al dominio.&lt;/p&gt;</description></item><item><title>KeeThief: dump di master key e credenziali da KeePass</title><link>https://hackita.it/articoli/keethief/</link><pubDate>Sat, 07 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/keethief/</guid><description>&lt;p&gt;KeeThief estrae il &lt;strong&gt;composite key material&lt;/strong&gt; direttamente dalla RAM del processo &lt;code&gt;KeePass.exe&lt;/code&gt;, permettendo il dump delle credenziali senza conoscere la master password.&lt;/p&gt;
&lt;p&gt;Tecnica mappata a &lt;strong&gt;MITRE ATT&amp;amp;CK T1555.005 – Password Managers&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Qui trovi il funzionamento reale del tool, il workflow operativo completo, tecniche avanzate (incluso backdoor via trigger KeePass) e cosa viene realmente rilevato in fase di detection.&lt;/p&gt;
&lt;h2
 id="come-funziona-keethief-meccanica-reale" class="group/anchor-heading"&gt;
 Come Funziona KeeThief (Meccanica Reale)
 &lt;a href="#come-funziona-keethief-meccanica-reale" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h2&gt;&lt;p&gt;KeePass protegge il database &lt;code&gt;.kdbx&lt;/code&gt; con una &lt;strong&gt;composite key&lt;/strong&gt;: combinazione di master password, key file opzionale e/o Windows User Account (DPAPI). Quando l&amp;rsquo;utente sblocca il database, KeePass deriva la chiave crittografica e la mantiene in memoria finché il database resta aperto.&lt;/p&gt;</description></item><item><title>SafetyKatz: Wrapper Mimikatz Memory-Only per Credential Dumping LSASS ed Evasione EDR</title><link>https://hackita.it/articoli/safetykatz/</link><pubDate>Fri, 06 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/safetykatz/</guid><description>&lt;h1
 id="safetykatz-wrapper-mimikatz-memory-only-per-credential-dumping-lsass-ed-evasione-edr" class="group/anchor-heading"&gt;
 SafetyKatz: Wrapper Mimikatz Memory-Only per Credential Dumping LSASS ed Evasione EDR
 &lt;a href="#safetykatz-wrapper-mimikatz-memory-only-per-credential-dumping-lsass-ed-evasione-edr" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;SafetyKatz è un wrapper di Mimikatz progettato per dump LSASS in memoria senza file su disco. Quando ottieni accesso amministrativo a un sistema Windows durante un pentest Active Directory, SafetyKatz permette estrazione credential material (NTLM hash, Kerberos ticket, plaintext password) con footprint ridotto rispetto a Mimikatz standard.&lt;/p&gt;
&lt;p&gt;Sviluppato da @harmj0y (Will Schroeder) del team SpecterOps/GhostPack, SafetyKatz adotta un approccio a due stadi: crea minidump del processo LSASS, poi carica reflectively una versione stripped di Mimikatz per parsing offline delle credenziali. Questo elimina l&amp;rsquo;esecuzione diretta di mimikatz.exe su disco, riducendo detection rate di alcuni EDR legacy.&lt;/p&gt;</description></item></channel></rss>