<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Dpapi on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/dpapi/</link><description>Recent content in Dpapi on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Fri, 17 Jul 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/dpapi/index.xml" rel="self" type="application/rss+xml"/><item><title>Credential Dumping su Windows: LSASS, SAM, DPAPI e NTDS.dit</title><link>https://hackita.it/articoli/credential-dumping/</link><pubDate>Fri, 17 Jul 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/credential-dumping/</guid><description>&lt;h1
 id="credential-dumping-su-windows-lsass-sam-lsa-e-dpapi" class="group/anchor-heading"&gt;
 Credential Dumping su Windows: LSASS, SAM, LSA e DPAPI
 &lt;a href="#credential-dumping-su-windows-lsass-sam-lsa-e-dpapi" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Il credential dumping è l&amp;rsquo;estrazione di credenziali — hash NTLM, ticket Kerberos, password in chiaro — dalla memoria di processo (LSASS), dal database locale (SAM), dai segreti LSA o da vault cifrati (DPAPI e Credential Manager). Le credenziali ottenute alimentano &lt;a href="https://hackita.it/articoli/pass-the-hash/"&gt;Pass-the-Hash&lt;/a&gt;, &lt;a href="https://hackita.it/articoli/lateral-movement/"&gt;lateral movement&lt;/a&gt; e DCSync.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;Secondo il Verizon Data Breach Investigations Report 2025, l’abuso di credenziali compromesse ha rappresentato il 22% dei vettori di accesso iniziale nelle violazioni analizzate. Dopo la compromissione di un sistema, il credential dumping consente agli attaccanti di estrarre hash, password e altro materiale di autenticazione dalla memoria o dalle strutture del sistema, utilizzandolo successivamente per aumentare i privilegi e muoversi lateralmente nella rete.&lt;/p&gt;</description></item><item><title>Voleur HTB: Writeup con Kerberoasting, DPAPI e WSL Privesc</title><link>https://hackita.it/articoli/htb-voleur-walkthrough/</link><pubDate>Fri, 10 Jul 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/htb-voleur-walkthrough/</guid><description>&lt;h1
 id="htb-voleur-walkthrough-guida-completa-kerberoasting-dpapi-e-privilege-escalation-via-wsl" class="group/anchor-heading"&gt;
 HTB Voleur Walkthrough: Guida Completa Kerberoasting, DPAPI e Privilege Escalation via WSL
 &lt;a href="#htb-voleur-walkthrough-guida-completa-kerberoasting-dpapi-e-privilege-escalation-via-wsl" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;h2
 id="introduzione" class="group/anchor-heading"&gt;
 Introduzione
 &lt;a href="#introduzione" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h2&gt;&lt;p&gt;Voleur è una macchina Active Directory di HackTheBox in scenario &amp;ldquo;assume breach&amp;rdquo;: si parte già con delle credenziali valide, esattamente come capita in un pentest interno reale dove il cliente fornisce un account a basso privilegio. La catena di attacco tocca praticamente ogni tecnica DPAPI esistente: targeted Kerberoasting, AD Recycle Bin abuse, decrittazione di credenziali salvate via masterkey, fino a un accesso WSL che espone gli hive di registro e permette il dump completo di NTDS.dit.&lt;/p&gt;</description></item><item><title>DPAPI Attack in Active Directory: Estrarre Password Cifrate e Masterkey</title><link>https://hackita.it/articoli/dpapi/</link><pubDate>Tue, 17 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/dpapi/</guid><description>&lt;p&gt;DPAPI (Data Protection API) è il meccanismo nativo di Windows per cifrare password, token e segreti legati all&amp;rsquo;identità dell&amp;rsquo;utente. Browser, Credential Manager, applicazioni di terze parti — tutto passa da qui.&lt;/p&gt;
&lt;p&gt;Durante un pentest AD è una delle fonti di credenziali più sottovalutate. Spesso ci si concentra su hash crackati, pass-the-hash, Kerberoasting — e intanto le password in chiaro sono lì, cifrate con DPAPI, che nessuno ha guardato.&lt;/p&gt;
&lt;p&gt;Questa guida è operativa: ogni concetto ha il comando corrispondente, verificato e testato.&lt;/p&gt;</description></item><item><title>SharpChrome: Dump Credenziali Browser da Windows (DPAPI Abuse)</title><link>https://hackita.it/articoli/sharpchrome/</link><pubDate>Wed, 25 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/sharpchrome/</guid><description>&lt;p&gt;SharpChrome è un tool C# sviluppato dal team GhostPack che estrae password salvate e cookie di sessione da browser Chromium-based (Chrome, Edge, Brave, Slack) attraverso decryption DPAPI dei database SQLite locali. Il tool gestisce nativamente l&amp;rsquo;encryption AES-GCM introdotta in Chrome v80+ e implementa accesso lockless per leggere i database anche con browser aperto.&lt;/p&gt;
&lt;p&gt;Durante engagement di penetration testing, SharpChrome permette di raccogliere credenziali per servizi cloud, applicazioni web enterprise e piattaforme SaaS salvate nei browser degli utenti compromessi. Il tool si posiziona nella fase &lt;strong&gt;Credential Access&lt;/strong&gt; (MITRE ATT&amp;amp;CK T1555.003) della kill chain, tipicamente dopo aver ottenuto accesso iniziale e prima di lateral movement verso target di valore.&lt;/p&gt;</description></item><item><title>SharpDPAPI: Abuso di DPAPI per Decrypt Credenziali su Windows</title><link>https://hackita.it/articoli/sharpdpapi/</link><pubDate>Wed, 25 Feb 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/sharpdpapi/</guid><description>&lt;p&gt;SharpDPAPI è il tool definitivo in C# per decryption di credential protetti da Windows DPAPI (Data Protection API). Quando ottieni accesso Domain Admin o credential di un utente specifico durante un pentest Active Directory, SharpDPAPI decripta browser passwords, RDP saved connections, wireless profiles, certificates e ogni dato protetto da DPAPI su qualsiasi workstation del dominio.&lt;/p&gt;
&lt;p&gt;Sviluppato da @harmj0y, @leechristensen e @djhohnstein del team GhostPack/SpecterOps, SharpDPAPI implementa la logica DPAPI completa in C# puro, abilitando decryption con domain backup key (persiste per tutta la vita del dominio), user password, NTLM hash, o masterkey GUID mappings. Il vantaggio critico: il domain backup key non cambia mai dopo domain creation - estratto una volta, decripta credential di qualsiasi utente indefinitamente.&lt;/p&gt;</description></item></channel></rss>