🏴‍☠️
onosh'tes
  • Onosh'tes
  • CTF
    • ☠️leHACK 2024 - Challenge DLS
    • Malizen 2023
      • 🐒Monkey Money​ Challenge
    • European Cyber Cup 2022
      • [OT] - Sauvez la centrale nucléaire !
    • CNSSIS2022
      • Rançongiciel
      • DICOM
      • Petite frappe
      • Dropper [.docx]
      • Lsass
      • Oncle Sam
      • Bad DNS
      • Un attaquant sur le réseau
      • Données de santé exposées...
      • Scan TLS
    • BreizhCTF2022
      • Des deux côtés 1/2
      • Des deux côtés 2/2
    • European Cyber Week
      • Maker is dead
    • John Hammond
    • ESN'HACK
      • EXFILTRATION 1
      • EXFILTRATION 2
    • France Cybersecurity Challenge
      • Académie de l'investigation - C'est la rentrée
      • Académie de l'investigation - Premiers artéfacts
      • Académie de l'investigation - Porte dérobée
      • Académie de l'investigation - Administration
      • Chapardeur de mots de passe
      • Find Me
      • Cap ou pcap ?
      • Randomito
      • Le rat conteur
  • Tools
  • For Fun
    • 💸Marketing, that good liar !
Propulsé par GitBook
Sur cette page
  • Découverte des fichiers
  • Extractions des hashs

Cet article vous a-t-il été utile ?

  1. CTF
  2. CNSSIS2022

Oncle Sam

Une extraction des clés de registres hklm\sam et hklm\system a été réalisée sur une machine Windows et vous est fournie. Votre mission est de retrouver le mot de passe local de l’utilisateur "apssis".

PrécédentLsassSuivantBad DNS

Dernière mise à jour il y a 2 ans

Cet article vous a-t-il été utile ?

Découverte des fichiers

Il y a deux fichiers de registre windows dispo :

The Security Account Manager (SAM) is a registry file for Windows XP, Windows Vista, Windows 7, 8.1 and 10 that stores local user's account passwords.

file *
sam.save:    MS Windows registry file, NT/2000 or above
system.save: MS Windows registry file, NT/2000 or above

Il existe une technique pour extraire les hash NTLM des utilisateurs lorsque l'on a ces deux registres.

Extractions des hashs

On commence par extraire les hashs des utilisateurs du systèmes via impacket.

┌──(kali㉿kali)-[~/Desktop/challenge_sam_password]
└─$ impacket-secretsdump -sam sam.save -system system.save LOCAL
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[*] Target system bootKey: 0x97d0590046fc16af953068aeb5931f6b
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrateur:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invité:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:36bdb0f8f08dddcb87d4942ee013c49b:::
apssis:1002:aad3b435b51404eeaad3b435b51404ee:c2063e596b98a1a61959976c52702ba4:::
[*] Cleaning up...

Je casse le hash NTLM de l'utilisateur apssis sur crackstation :

Le mot de passe de l'utilisateur apssis est "papanoel".

LogoGitHub - SecureAuthCorp/impacket: Impacket is a collection of Python classes for working with network protocols.GitHub
11MB
system.save
40KB
sam.save