Petit suivi, désormais l'outil fonctionne aussi sous : * Windows 7 32 bits * Windows 8.1 * Windows 2012r2 * Windows 10 (Home, Pro, Enterprise sans le VSM)
http://sysadminconcombre.blogspot.ca/2015/07/how-to-reveal-windows-10-password.html Bonne journée, 2015-07-06 13:05 GMT-04:00 Pierre-Alexandre Braeken <pabrae...@gmail.com>: > Hello Denis, > > Merci pour ta réponse :-) > > Je connaissais déjà les liens que tu m'as donné. > > Malheureusement la KB que tu mentionnes ne résout pas le problème. > > En effet, le simple ajout de la clé de registre : > > UseLogonCredential (DWORD à 1) > > dans HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest > > permet toujours la récupération. > > Bien à toi, > > PA > > > 2015-07-06 12:47 GMT-04:00 Denis Cardon < > denis.car...@tranquil-it-systems.fr>: > >> Bonjour Pierre-Alexandre, >> >> Tout d'abord, vous devez savoir que mon code a été créé et est publié à >>> des fins d'apprentissage et vous ne devez en AUCUN cas vous en servir de >>> façon frauduleuse. Je ne suis pas responsable des mauvaises utilisation >>> de celui-ci. Vous pouvez l'essayer sur des machines qui vous >>> appartiennent, toute utilisation non autorisée de celui-ci dans le but >>> d'obtenir des accès non autorisés sont illégales. >>> >>> Ceci étant spécifié, passons aux choses sérieuses : >>> >>> J'ai créé un script PowerShell qui permet de révéler les mots de passes >>> des utilisateurs logués ou s'étant logués (et machine non rebootée) >>> d'une machine Windows (testé sous Windows 2003,2008R2,2012,7 et 8). >>> >>> Le script fonctionne différemment des outils WCE et Mimikatz. >>> >>> La décryption se fait dans le script sans appeler les .dlls de Windows >>> qui s'en occupent pour le système. >>> >>> Il fonctionne également même si l'architecture du système cible est >>> différente de la votre. >>> >>> Il est disponible sur GitHub : https://github.com/giMini/RWMC et ici : >>> http://sysadminconcombre.blogspot.ca...ws-memory.html >>> < >>> http://sysadminconcombre.blogspot.ca/2015/07/powershell-reveal-windows-memory.html >>> > >>> >> >> Microsoft a une solution au moins sous win8/win2k12r2 pour ce soucis avec >> la kb2871997 qui désactiver tous les types d'authentification hormis le >> kerberos dans le lsass pour les utilisateurs du groupe "Protected Users". >> Dans ce cas là on a plus que le TGT kerberos [1] en mémoire, donc pas de >> mdp en clair. Mais ça supprime la possibilité d'utiliser le NTLM, le >> wDigest, et consort... >> >> Pour plus d'information : >> http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx >> >> La KB ci-dessus wipe-out aussi les mdp de la mémoire vive lors du logoff, >> ce qui supprime le pb mentionné ci-dessus au niveau de la récupération des >> mdp des utilisateurs "s'étant logués" précédemment. >> >> Le but ? Démontrer à quel point il est nécessaire de contrôler les accès >>> à vos systèmes ainsi que de réduire les droits donnés à vos utilisateurs. >>> >> >> 100% d'accord! >> >> Cordialement, >> >> Denis >> >> [1] https://en.wikipedia.org/wiki/Ticket_Granting_Ticket >> >> >> >> >>> Bonne journée ! >>> >>> >>> _______________________________________________ >>> Liste de diffusion du FRsAG >>> http://www.frsag.org/ >>> >>> >> -- >> Denis Cardon >> Tranquil IT Systems >> Les Espaces Jules Verne, bâtiment A >> 12 avenue Jules Verne >> 44230 Saint Sébastien sur Loire >> tel : +33 (0) 2.40.97.57.55 >> http://www.tranquil-it-systems.fr >> >> >
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
