Extractions et cracking Windows

Extractions (Dumping) et Cracking Windows - Cheatsheet

Récupération des mots de passe stockés :
- SAM et SYSTEM : Les fichiers SAM et SYSTEM contiennent les mots de passe chiffrés des utilisateurs sous C:\Windows\System32\config. Ils peuvent être copiés pour analyse.
- Utilisation de mimikatz pour extraire les mots de passe en clair à partir des fichiers SAM et SYSTEM.
Utilisation de mimikatz pour récupérer les mots de passe en clair :
- Sélectionnez la version appropriée de mimikatz en fonction de l'architecture du système (x86 ou x64).
- Sélectionnez les modules adéquats pour extraire les mots de passe :
  - privilege::debug : Active le privilège de débogage pour l'accès au processus LSASS (Local Security Authority SubSystem Service).
  - sekurlsa::logonPasswords : Récupère les mots de passe en clair du processus LSASS.
Utilisation de mimikatz pour récupérer les mots de passe en clair depuis une session système (NT AUTHORITY\SYSTEM) :
- Sélectionnez le module "sekurlsa::ekeys" pour extraire les clés de chiffrement de session.
- Sélectionnez le module "lsadump::sam" pour extraire les mots de passe en clair des utilisateurs, en utilisant les clés de chiffrement de session.
Utilisation de mimikatz pour les attaques pass-the-hash (PTH) :
- Récupérez le hash NTLM (en utilisant le module sekurlsa::logonPasswords).
- Utilisez le hash NTLM avec le module "sekurlsa::pth" pour créer un jeton d'accès sans mot de passe.
Cracking de mots de passe avec des outils :
- Utilisation de john the ripper pour casser les mots de passe :
  - john --format=NT /path/to/hashes.txt : Cracker les mots de passe NTLM stockés dans un fichier.
- Utilisation de hashcat pour casser les mots de passe :
  - hashcat -m 1000 /path/to/hashes.txt <fichier_dictionnaire> : Cracker les mots de passe NTLM (mode 1000).

PreviousTaches Planifiees Cheatsheet NextPersistence Windows

Last updated 1 year ago

Extractions et cracking Windows

Extractions (Dumping) et Cracking Windows - Cheatsheet

Récupération des mots de passe stockés :
- SAM et SYSTEM : Les fichiers SAM et SYSTEM contiennent les mots de passe chiffrés des utilisateurs sous C:\Windows\System32\config. Ils peuvent être copiés pour analyse.
- Utilisation de mimikatz pour extraire les mots de passe en clair à partir des fichiers SAM et SYSTEM.
Utilisation de mimikatz pour récupérer les mots de passe en clair :
- Sélectionnez la version appropriée de mimikatz en fonction de l'architecture du système (x86 ou x64).
- Sélectionnez les modules adéquats pour extraire les mots de passe :
  - privilege::debug : Active le privilège de débogage pour l'accès au processus LSASS (Local Security Authority SubSystem Service).
  - sekurlsa::logonPasswords : Récupère les mots de passe en clair du processus LSASS.
Utilisation de mimikatz pour récupérer les mots de passe en clair depuis une session système (NT AUTHORITY\SYSTEM) :
- Sélectionnez le module "sekurlsa::ekeys" pour extraire les clés de chiffrement de session.
- Sélectionnez le module "lsadump::sam" pour extraire les mots de passe en clair des utilisateurs, en utilisant les clés de chiffrement de session.
Utilisation de mimikatz pour les attaques pass-the-hash (PTH) :
- Récupérez le hash NTLM (en utilisant le module sekurlsa::logonPasswords).
- Utilisez le hash NTLM avec le module "sekurlsa::pth" pour créer un jeton d'accès sans mot de passe.
Cracking de mots de passe avec des outils :
- Utilisation de john the ripper pour casser les mots de passe :
  - john --format=NT /path/to/hashes.txt : Cracker les mots de passe NTLM stockés dans un fichier.
- Utilisation de hashcat pour casser les mots de passe :
  - hashcat -m 1000 /path/to/hashes.txt <fichier_dictionnaire> : Cracker les mots de passe NTLM (mode 1000).

PreviousTaches Planifiees Cheatsheet NextPersistence Windows

Last updated 1 year ago