Les empreintes des mots de passe des comptes utilisateurs sous Windows sont stockées à deux endroits, dans la base de données SAM (Security Accounts Manager), locale pour un système Windows ou dans les structures Active Directory sur un contrôleur de domaine.Cet article propose de fournir les clés afin de pouvoir extraire de manière fiable (la stabilité du système cible ne devant pas être affectée) et sur un maximum de systèmes Windows, aussi bien en 32 bits qu'en 64 bits, les empreintes des comptes locaux d'une part et les empreintes des comptes de domaine d'autre part.
Introduction
Dans le cadre d'un test d'intrusion, il est toujours intéressant de pouvoir récupérer les empreintes des mots de passe des différents utilisateurs du système local ou d'un domaine. En effet, en environnement Windows, il n'est pas nécessaire de disposer du mot de passe en clair d'un utilisateur pour pouvoir accéder à ses ressources (qu'il s'agisse de répertoires réseau ou de l'accès distant à sa machine) avec son identité.
Les mécanismes d'authentification Windows utilisent effectivement directement le condensat du mot de passe pour obtenir un accès sur un système distant (par exemple via le protocole NTLM). L’attaque en résultant est couramment appelée « Pass-the-Hash ».
Les outils habituellement utilisés pour extraire les empreintes des mots de passe sur les systèmes (fgdump, gsecdump et consorts) se retrouvent bien souvent bloqués sur les systèmes récents ou disposant d'un antivirus. Dans certains cas, ils peuvent provoquer un...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première