Comment les hachages Windows 10 sont-ils stockés si le compte est configuré à l'aide d'un compte Microsoft?

Les hachages Windows sont enregistrés dans le fichier SAM (chiffré avec le fichier SYSTEM ) sur votre ordinateur, indépendamment du fait que vous utilisez - compte Microsoft . Cela doit être fait de cette façon pour vous permettre de vous connecter à votre ordinateur, même si vous n'êtes pas connecté à Internet. Si vous modifiez votre mot de passe à l'aide de account.Microsoft.com , vous pourrez toujours vous connecter à votre ordinateur avec votre ancien mot de passe (même si vous utilisez compte Microsoft ) . Après vous être connecté au système, vous serez invité à taper un nouveau mot de passe, mais tant que vous ne tapez pas de nouveau mot de passe, vous pourrez utiliser l'ancien mot de passe pour vous connecter à votre ordinateur. Après avoir tapé le nouveau mot de passe, le fichier SAM (et éventuellement SYSTEM ) sera mis à jour.

Vous obtenez (à tort) 31d6cfe0d16ae931b73c59d7e0c089c0 hachage de votre mot de passe car le format des fichiers SAM et/ou SYSTEM a modifié depuis ( Mise à jour anniversaire de Windows 10 (voir: problème similaire ), donc des outils comme - chntpw , bkhive , pwdump , samdump2 imprimer le hachage du mot de passe vide (je l'ai vérifié sur mon Windows 10). Depuis cette mise à jour, Windows tiliseAES128 pour crypter le hachage MD4 du mot de passe. À cause de cela, presque tous les tutoriels concernantmot de passe Windowsrécupération sont devenus obsolètes.

Heureusement, il existe un outil appelé mimikatz (Windows uniquement, mais peut être exécuté sur Linux en utilisant Wine ) créé par BenjaminDelpy , qui peut lire les hachages des mots de passe enregistrés dans le nouveau format de Windows. Notez que Windows Defender et antivirus Symantec le traite comme un 'Hack Tool' et le supprime, vous devez donc les désactiver avant d'exécuter mimikatz (exécuté en tant qu'administrateur).

mimikatz se compose de de nombreux modules , mais vous devriez explorer le module lsadump , en particulier lsadump::sam fonction.

Extrait de docs :

Si vous n'êtes pas SYSTEM ou que vous utilisez un jeton SYSTEM imité, vous aurez accès à une erreur refusée:

mimikatz # lsadump::sam
Domain : VM-W7-ULT-X
SysKey : 74c159e4408119a0ba39a7872e9d9a56
ERROR kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x00000005)

Dans ce cas, vous pouvez utiliser psexec pour commencer SYSTEM (ou d'autres outils) ou élever avec token::elevate commande pour emprunter l'identité d'un jeton SYSTEM:

mimikatz # privilege::debug
Privilege '20' OK

mimikatz # token::whoami
 * Process Token : 623884       vm-w7-ult-x\Gentil Kiwi S-1-5-21-1982681256-1210654043-1600862990-1000  (14g,24p)       Primary
 * Thread Token  : no token

mimikatz # token::elevate
Token Id  : 0
User name :
SID name  : AUTORITE NT\Système

228     24215           AUTORITE NT\Système     S-1-5-18        (04g,30p)       Primary
 -> Impersonated !
 * Process Token : 623884       vm-w7-ult-x\Gentil Kiwi S-1-5-21-1982681256-1210654043-1600862990-1000  (14g,24p)       Primary
 * Thread Token  : 624196       AUTORITE NT\Système     S-1-5-18        (04g,30p)       Impersonation (Delegation)

mimikatz # lsadump::sam
Domain : VM-W7-ULT-X
SysKey : 74c159e4408119a0ba39a7872e9d9a56

SAMKey : e44dd440fd77ebfe800edf60c11d4abd

RID  : 000001f4 (500)
User : Administrateur
LM   :
NTLM : 31d6cfe0d16ae931b73c59d7e0c089c0

RID  : 000001f5 (501)
User : Invité
LM   :
NTLM :

RID  : 000003e8 (1000)
User : Gentil Kiwi
LM   :
NTLM : cc36cf7a8514893efccd332446158b1a

Vous pouvez télécharger x86 et AMD64 binaires des mimikatzici .

En guise de remarque - si vous voulez vous assurer que le hachage du mot de passe est le hachage de votre mot de passe, vous pouvez facilement faire en utilisant Python :

user@mycompa:~$  python3
Python 3.5.3 (default, Jan 19 2017, 14:11:04) 
[GCC 6.3.0 20170118] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> import hashlib, binascii
>>> passwd = "password"
>>> hash = hashlib.new('md4', passwd.encode('utf-16le')).digest()
>>> print(binascii.hexlify(hash))
b'8846f7eaee8fb117ad06bdd830b7586c'

Pour ajouter patryk.beza's bonne réponse:

De plus, ne serait-il pas plus sûr qu'une personne soit obligée d'utiliser un compte Microsoft, car un pirate ne pourrait jamais profiter de l'accès physique à une machine ou inciter l'utilisateur à cliquer sur quelque chose qui lui donne accès à la Fichiers SAM/SYSTEM?

Non, le mot de passe doit être enregistré quelque part sur votre ordinateur. Si, pour une raison quelconque, vous ne pouvez pas accéder aux serveurs MS lorsque vous vous connectez, le système d'exploitation vous permettra toujours de vous connecter avec vos informations d'identification. Et même si l'utilisateur n'a cliqué sur rien, il est toujours possible qu'une faille potentielle dans le système d'exploitation donne à un acteur de la menace l'accès au fichier SAM. L'un des problèmes majeurs que j'ai avec les comptes MS est le suivant: lorsque vous liez votre compte MS à votre ordinateur, il utilise le même mot de passe pour tout. Cela peut être très mauvais car un acteur de la menace peut changer votre mot de passe s'il peut accéder au fichier SAM et casser le hachage. Si un acteur de la menace a votre mot de passe, il peut commencer à changer tous vos mots de passe pour vous bloquer complètement. C'est un risque majeur dont MS ne vous parle pas car ils aiment pouvoir vous espionner. Et ce n'est qu'une question de temps avant plus Tables arc-en-ciel sortez pour commencer à casser les mots de passe Windows 10. En matière de sécurité, il n'est jamais question de [~ # ~] si [~ # ~] ; c'est [~ # ~] lorsque [~ # ~] .