Una vez que un sistema está comprometido, debemos averiguar las credenciales disponibles y que están almacenadas en el sistema; para ello deberemos acceder a:

• Almacén de credenciales de usuario local (SAM en Windows).
• Sistemas de autenticación centralizados.
• Aplicaciones de terceros.
• Credenciales en caché en memoria.

(esquema de autenticación de windows.)

Por ejemplo, podremos obtener las credenciales a través del comando hashdump de Meterpreter.

En el caso de Linux, las credenciales del sistema se suelen almacenar en el fichero /etc/shadow.