Extractions et cracking Windows
Extractions (Dumping) et Cracking Windows - Cheatsheet
Récupération des mots de passe stockés :
SAM et SYSTEM : Les fichiers SAM et SYSTEM contiennent les mots de passe chiffrés des utilisateurs sous C:\Windows\System32\config. Ils peuvent être copiés pour analyse.
Utilisation de mimikatz pour extraire les mots de passe en clair à partir des fichiers SAM et SYSTEM.
Utilisation de mimikatz pour récupérer les mots de passe en clair :
Sélectionnez la version appropriée de mimikatz en fonction de l'architecture du système (x86 ou x64).
Sélectionnez les modules adéquats pour extraire les mots de passe :
privilege::debug : Active le privilège de débogage pour l'accès au processus LSASS (Local Security Authority SubSystem Service).
sekurlsa::logonPasswords : Récupère les mots de passe en clair du processus LSASS.
Utilisation de mimikatz pour récupérer les mots de passe en clair depuis une session système (NT AUTHORITY\SYSTEM) :
Sélectionnez le module "sekurlsa::ekeys" pour extraire les clés de chiffrement de session.
Sélectionnez le module "lsadump::sam" pour extraire les mots de passe en clair des utilisateurs, en utilisant les clés de chiffrement de session.
Utilisation de mimikatz pour les attaques pass-the-hash (PTH) :
Récupérez le hash NTLM (en utilisant le module sekurlsa::logonPasswords).
Utilisez le hash NTLM avec le module "sekurlsa::pth" pour créer un jeton d'accès sans mot de passe.
Cracking de mots de passe avec des outils :
Utilisation de john the ripper pour casser les mots de passe :
john --format=NT /path/to/hashes.txt : Cracker les mots de passe NTLM stockés dans un fichier.
Utilisation de hashcat pour casser les mots de passe :
hashcat -m 1000 /path/to/hashes.txt <fichier_dictionnaire> : Cracker les mots de passe NTLM (mode 1000).
Last updated