La base SAM (Security Account Manager) est la base de donnée utilisée par Windows pour stocker les informations des comptes locaux et notamment les mots de passes sous forme de Hash NTLM ou NT Hash. C’est également un des composants de la base de registre.
Cette base est stockée dans le répertoire C:\Windows\System32\Config
Seul le compte SYSTEM possède les autorisations requises pour accéder à son contenu. La commande PsExec peut être utilisée pour ouvrir le registre avec les privilèges appropriés.
PsExec -i -s regedit.exe
Pour extraire les Hash NTLM de la base SAM localement on peut utiliser Mimikatz (à condition d’obtenir un accès administrateur sur la machine et bypasser l’antivirus ou tout autre mécanisme de protection).
On peut également utiliser Lazagne.
L’algorithme de génération d’un Hash NTLM est assez simple. Il suffit de convertir le mot de passe au format Unicode Little-endian et d’y appliquer l’algorithme de hachage MD4.
On peut faire un test sur le site NTLM HASH Generator et voir que le NT Hash du compte Administrator correspond bien au mot de passe Azerty59.
Une fois le Hash NTLM obtenu deux possibilité s’offre à nous :
- Tenter une attaque de type brute force ou dictionnaire pour obtenir le mot de passe en clair
- Tenter une attaque de type Pass The Hash (Pth) pour se connecter sur une autre machine
Pour la première attaque on va utiliser John pour essayer de cracker le NT Hash avec un dictionnaire (une simple liste de mot de passe). Pour cela Il faut créer un premier fichier formaté avec le NT Hash du compte Administrator et un un deuxième avec la liste de mots de passe à tester.
john.exe –format=NT –wordlist=Password-List.txt .\NTLM-Hash.txt
Si vous ne trouvez aucun mot de passe, il reste la possibilité d’effectuer une attaque par force brute. Cependant, cela nécessitera une machine suffisamment puissante et dépendra de la faiblesse ou non du mot de passe.
Pour la deuxième attaque on peut utiliser Mimikatz pour créer une nouvelle session en tant qu’Administrateur avec le Hash NTLM et ainsi pouvoir se connecter sur une machine distante via le protocole NTLM.
Dans mon exemple une fois la session créée par Mimikatz une nouvelle fenêtre cmd est automatiquement ouverte avec les identifiants du compte Administrateur chargées en mémoire. Cela me permet ensuite à l’aide de PsExec d’ouvrir un session à distance depuis la machine CL01 (10.0.0.15) sur le contrôleur de domaine DC-01 (10.0.0.2) le tout sans jamais connaitre le mot de passe.
En analysant le trafic réseau avec Wireshark on constate bien que le protocole utilisé pour l’authentification est NTLM.
On peut également réaliser cette attaque depuis une machine linux avec impacket-psexec. Pas besoin de mot de passe, l’important est juste connaitre le nom du compte et son NT Hash.
Bien évidemment cette attaque n’est possible que si le mot de passe du compte local usurpé est le même que sur la machine distante, peu importe que l’identifiant du compte soit le même ou pas. Dans mon cas, le compte local est Administrator et le compte distant correspond à l’utilisateur Administrateur du domaine, ce qui ne pose aucun problème, car le mot de passe (et donc le Hash NTLM) est le même. Il est donc possible de tenter une authentification NTLM avec un même NT Hash sur plusieurs compte différent afin de vérifier si ces comptes partagent le même mot de passe.
Pour atténuer au maximum le risque de vol et d’exploitation des identifiants de la base SAM il est recommandé de :
- Restreindre le trafic NTLM entrant et sortant au niveau des machines via GPO (il faut bien sur réaliser un audit préalable)
- Mettre en place une politique de mot passe robuste (même en cas de vol une tentative de brute force sera inutile)
- Configurer un mot de passe différent pour le compte Administrateur local sur chaque machine (Mettre en place LAPS permet de régler ce problème)
Toutes les informations et techniques présentées sur ce blog sont strictement à des fins éducatives. L’utilisation de ces connaissances pour des activités illégales ou non autorisées est interdite.