Comment obtenir un mot de passe Windows via session active ?

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Comment obtenir un mot de passe Windows via session active ?

Message par ѠOOT » 07 avr. 2014 21:06

Dans l'article, Comment ouvrir une session Windows sans mot de passe ? , je conseil un utilitaire léger qui utilise une méthode de contournement efficace. Quand la session Windows est encore active, c'est encore plus simple, il est possible de s'approprier des privilèges afin d'inspecter la mémoire vive à la recherche du mot de passe : en texte clair ! Point méconnu, un attaquant ou un code malveillant ( ou un enquêteur assermenté :D ) est en mesure de faire silencieusement la même chose alors même que vous êtes en train d'utiliser votre session. Point non négligeable, en cas de préservation de la mémoire volatile par acquisitions, celle-ci pourra être ré-utilisée de la même manière ( d'où l'intérêt de chiffrer la mémoire vive... )

Voici un outil multifonction gratuit pour le moins complexe dans sa conception mais fort simple à utiliser.

mimikatz

→ Téléchargez, dé-zippez & exécutez mimikatz.exe

Image

Véritable couteau suisse, les fonctionnalités sont réparties dans des modules à charger :

sekurlsa
standard
crypto
divers
handle
inject
kerberos
nogpo
privilege
process
samdump
service
system
thread
ts
impersonate
efs

Je commence d'abord par m'octroyer des privilèges avec privilege::debug

Dans cette démonstration, je ne vais charger que le module sekurlsa

Dump des sessions courantes par providers LSASS
msv - énumère les sessions courantes du provider MSV1_0
wdigest - énumère les sessions courantes du provider WDigest
kerberos - énumère les sessions courantes du provider Kerberos
tspkg - énumère les sessions courantes du provider TsPkg
livessp - énumère les sessions courantes du provider LiveSSP
ssp - énumère les sessions courantes du provider SSP (msv1_0)
logonPasswords - énumère les sessions courantes des providers disponibles
searchPasswords - recherche directement dans les segments mémoire de LSASS des mots de passes


( LSASS = Local Security Authority Subsystem )

J'utilise sekurlsa::searchPasswords pour scanner les segments mémoire.

Image

Le mot de passe "Administrateur" de la machine "H4X0RK1DZ" est : "HyPeR-C0MpL3x"

La commande sekurlsa::logonPasswords permet d'afficher les hash aux formats LM / NTLM.
Bien entendu, d'autres informations peuvent être récupérées, notamment depuis le module samdump
En possession de ces hash, il est possible de mener des attaques par force brute à distance ou hors-ligne, comme expliqué dans l'article Comment casser hash LM/NTLM de vos mots de passe Windows ?


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Tech, Tips & Tricks »