Bonjour Pierre-Alexandre,
Tout d'abord, vous devez savoir que mon code a été créé et est publié à des fins d'apprentissage et vous ne devez en AUCUN cas vous en servir de façon frauduleuse. Je ne suis pas responsable des mauvaises utilisation de celui-ci. Vous pouvez l'essayer sur des machines qui vous appartiennent, toute utilisation non autorisée de celui-ci dans le but d'obtenir des accès non autorisés sont illégales.
Ceci étant spécifié, passons aux choses sérieuses :
J'ai créé un script PowerShell qui permet de révéler les mots de passes des utilisateurs logués ou s'étant logués (et machine non rebootée) d'une machine Windows (testé sous Windows 2003,2008R2,2012,7 et 8).
Le script fonctionne différemment des outils WCE et Mimikatz.
La décryption se fait dans le script sans appeler les .dlls de Windows qui s'en occupent pour le système.
Il fonctionne également même si l'architecture du système cible est différente de la votre.
Il est disponible sur GitHub : https://github.com/giMini/RWMC et ici : http://sysadminconcombre.blogspot.ca...ws-memory.html http://sysadminconcombre.blogspot.ca/2015/07/powershell-reveal-windows-memory.html
Microsoft a une solution au moins sous win8/win2k12r2 pour ce soucis avec la kb2871997 qui désactiver tous les types d'authentification hormis le kerberos dans le lsass pour les utilisateurs du groupe "Protected Users". Dans ce cas là on a plus que le TGT kerberos [1] en mémoire, donc pas de mdp en clair. Mais ça supprime la possibilité d'utiliser le NTLM, le wDigest, et consort...
Pour plus d'information : http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.a...
La KB ci-dessus wipe-out aussi les mdp de la mémoire vive lors du logoff, ce qui supprime le pb mentionné ci-dessus au niveau de la récupération des mdp des utilisateurs "s'étant logués" précédemment.
Le but ? Démontrer à quel point il est nécessaire de contrôler les accès à vos systèmes ainsi que de réduire les droits donnés à vos utilisateurs.
100% d'accord!
Cordialement,
Denis
[1] https://en.wikipedia.org/wiki/Ticket_Granting_Ticket
Bonne journée !
Liste de diffusion du FRsAG http://www.frsag.org/