Skip to main content

[AD] Credentials Harvesting

Introduction

Cette pratique a pour objectif de récupérer des identifiants qui pourront nous servir à élever nos privilèges ou pivoter sur d'autres machines du domaine.

Elle fait partie intégrante de la phase d'énumération post-compromission.

Techniques

Mots de passe en clair

Voici les premiers éléments qu'un pirate va chercher pour trouver de nouveaux identifiants :

  • Historique de commandes.
  • Fichiers de configuration (Apps web, FTP etc).
  • D'autres fichiers liés à des applications Windows (Navigateur internet, boîte mail).
  • Fichiers de sauvegarde.
  • Fichiers et dossiers partagés.
  • Base de donnée.
  • Gestionnaire de mots de passe.
  • Base de registre.
  • Code source d'application.
  • Description de l'utilisateur dans l'AD.

Historique de commande Powershell

Toutes les commandes sont par défaut stockées dans le fichier suivant :

C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

Base de registre

Les commandes suivantes vont chercher le mot-clé password dans la base de registre :

reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s