Petit suivi, désormais l'outil fonctionne aussi sous :
* Windows 7 32 bits * Windows 8.1 * Windows 2012r2 * Windows 10 (Home, Pro, Enterprise sans le VSM)
http://sysadminconcombre.blogspot.ca/2015/07/how-to-reveal-windows-10-passwo...
Bonne journée,
2015-07-06 13:05 GMT-04:00 Pierre-Alexandre Braeken pabraeken@gmail.com:
Hello Denis,
Merci pour ta réponse :-)
Je connaissais déjà les liens que tu m'as donné.
Malheureusement la KB que tu mentionnes ne résout pas le problème.
En effet, le simple ajout de la clé de registre :
UseLogonCredential (DWORD à 1)
dans HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
permet toujours la récupération.
Bien à toi,
PA
2015-07-06 12:47 GMT-04:00 Denis Cardon < denis.cardon@tranquil-it-systems.fr>:
Bonjour Pierre-Alexandre,
Tout d'abord, vous devez savoir que mon code a été créé et est publié à
des fins d'apprentissage et vous ne devez en AUCUN cas vous en servir de façon frauduleuse. Je ne suis pas responsable des mauvaises utilisation de celui-ci. Vous pouvez l'essayer sur des machines qui vous appartiennent, toute utilisation non autorisée de celui-ci dans le but d'obtenir des accès non autorisés sont illégales.
Ceci étant spécifié, passons aux choses sérieuses :
J'ai créé un script PowerShell qui permet de révéler les mots de passes des utilisateurs logués ou s'étant logués (et machine non rebootée) d'une machine Windows (testé sous Windows 2003,2008R2,2012,7 et 8).
Le script fonctionne différemment des outils WCE et Mimikatz.
La décryption se fait dans le script sans appeler les .dlls de Windows qui s'en occupent pour le système.
Il fonctionne également même si l'architecture du système cible est différente de la votre.
Il est disponible sur GitHub : https://github.com/giMini/RWMC et ici : http://sysadminconcombre.blogspot.ca...ws-memory.html < http://sysadminconcombre.blogspot.ca/2015/07/powershell-reveal-windows-memor...
Microsoft a une solution au moins sous win8/win2k12r2 pour ce soucis avec la kb2871997 qui désactiver tous les types d'authentification hormis le kerberos dans le lsass pour les utilisateurs du groupe "Protected Users". Dans ce cas là on a plus que le TGT kerberos [1] en mémoire, donc pas de mdp en clair. Mais ça supprime la possibilité d'utiliser le NTLM, le wDigest, et consort...
Pour plus d'information : http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.a...
La KB ci-dessus wipe-out aussi les mdp de la mémoire vive lors du logoff, ce qui supprime le pb mentionné ci-dessus au niveau de la récupération des mdp des utilisateurs "s'étant logués" précédemment.
Le but ? Démontrer à quel point il est nécessaire de contrôler les accès
à vos systèmes ainsi que de réduire les droits donnés à vos utilisateurs.
100% d'accord!
Cordialement,
Denis
[1] https://en.wikipedia.org/wiki/Ticket_Granting_Ticket
Bonne journée !
Liste de diffusion du FRsAG http://www.frsag.org/
-- Denis Cardon Tranquil IT Systems Les Espaces Jules Verne, bâtiment A 12 avenue Jules Verne 44230 Saint Sébastien sur Loire tel : +33 (0) 2.40.97.57.55 http://www.tranquil-it-systems.fr