Authentification Proxy sur XP [Résolu]
Authentification Proxy sur XP [Résolu] - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 19-10-2012 à 15:52:16
C'est dans les mots de passe stockés dans ie je suppose.
Pour ca tu va dans outils -> options internet -> général -> historique de navigation -> supprimer -> supprimer les mots de passes
---------------
http://lacabanedeladmin.trickip.net/
j'ai aussi essayé ça...
Marsh Posté le 06-11-2012 à 11:12:16
J'ai finalement trouvé grâce à l'outil de Nir Sofer :
http://www.nirsoft.net/utils/netwo [...] overy.html
Les comptes sur un XP sont sauvegardés ici :
Starting from Windows XP, the network passwords are encrypted inside the Credentials file, located under Documents and Settings\<User Name>\Application Data\Microsoft\Credentials\<User SID>. Some passwords may also be stored in the Credentials file under Documents and Settings\<User Name>\Local Settings\Application Data\Microsoft\Credentials\<User SID>.
Pour mon cas, il s'agissait d'éditer le fichier Credentials de Documents and Settings\<User Name>\Local Settings\Application Data\Microsoft\Credentials\<User SID>.
Message édité par akizan le 06-11-2012 à 11:17:23
Marsh Posté le 06-11-2012 à 13:58:03
Par contre, je me pose la question de comment ça se décrypte ce fichier...
Selon Nir Sofer :
The Credentials file is encrypted with the SHA hash of the log-on password, and without that hash, the Credentials file cannot be decrypted.
Je croyais que décrypter du SHA, c'était encore trop complexe ???
Edit : des infos ici
http://media.blackhat.com/bh-us-11 [...] ade_WP.pdf
Message édité par akizan le 06-11-2012 à 16:29:10
Marsh Posté le 06-11-2012 à 21:17:19
C'est pour ça que c'est marqué "The SHA-1 hash of the user’sWindows password is needed to decrypt DPAPI protected data.
As explained in section 6, the best option to get this SHA-1 hash is to crack the Windows password and hash it back into SHA-1. The other option is to try to find it in a Windows
memory dump but this is less reliable."
Marsh Posté le 07-11-2012 à 09:16:50
donc selon toi, l'outil de Nir Sofer "crack" le mot de passe du compte Windows ?
Ou alors on peut juste récupérer le SHA-1 hash du compte windows (ça je pense c'est pas trop compliqué) et ensuite il utilise DPAPI pur décrypter le fichier credentials ?
Marsh Posté le 07-11-2012 à 12:00:34
Oui il le crack en le choppant dans la base SAM puis si le LM existe c'est pas dur d'avoir le mot de passe, si c'est du pur NTLM il essaie de le cracker et au pire il essaie de retrouver dans le fichier d'hibernation le hash sha1 s'il existe
Marsh Posté le 07-11-2012 à 12:07:59
Sauf que les comptes windows du domaine ne sont pas stockés dans la SAM du poste...
En fait, je suis surtout surpris de la rapidité à laquelle l'outil récupère mon mot de passe Office 365 car celui ci est également stocké dans le credential 
Edit : j'ai fais quelques tests et en fait, je me suis aperçu que c'est le mot de passe de Lync du compte Office 365 qui était décrypté par NetPass dans le fichier Credentials !
Il n'arrive pas à récupérer le mot de passe de Outlook même s'il trouve une nouvelle entrée lorsque l'on coche la case "Mémoriser Mot de passe".
Du coup je vais ptre sur une mauvaise piste car peut être que Lync ne crypte pas aussi bien le mot de passe que Outlook
Message édité par akizan le 07-11-2012 à 14:04:40
Marsh Posté le 07-11-2012 à 14:06:23
Exact pour la SAM
Il doit récupérer le hash via les cached credentials
Marsh Posté le 07-11-2012 à 14:29:13
Je lui ai posé la question en direct sur mon mail mais j'ai peu d'espoir d'avoir une réponse sur comment il a fait
Ha ça me parait bien ça, j'avais carrément oublié le cached credentials
Message édité par akizan le 07-11-2012 à 14:54:33
Marsh Posté le 07-11-2012 à 15:36:18
J'ai essayé ça :
http://www.windowsitpro.com/articl [...] ws-client-
chez moi :
rundll32.exe keymgr.dll, KRShowKeyMgr --> Vide
control userpasswords2 --> Vide
psexec -i -d -s c:\windows\regedit.exe et HKLM \SECURITY\Cache --> Vide
Alors que sur un outil d'extraction des cached credentials (je le cite pas pour pas être banni ^^), il me trouve bien des informations.
Edit : je viens de retenter le "psexec -i -d -s c:\windows\regedit.exe" et ça marche ?! o.O
Message édité par akizan le 08-11-2012 à 14:10:55
Marsh Posté le 07-11-2012 à 16:39:45
Pour info pour Lync, y a quelqu'un qui est déjà tombé dessus
http://www.remkoweijnen.nl/blog/20 [...] -recovery/
Sujets relatifs:
- XP Couche HAL, MDT 2012 & BSOD
- Configurer pdanet avec un proxy
- Impossible de mettre W2008R2 en français
- solution simple pour de l'authentification forte
- Authentification Radius 802.1x
- Appliances commerciales Proxy filtrant. Des avis ?
- Envoi de mail vers l'extérieur impossible SBS Exchange 2003
Marsh Posté le 19-10-2012 à 15:23:43
Bonjour,
Le contexte :
- Proxy externe à l'entreprise qui demande des identifiants (user + mot de passe)
- AD en interne / PC XP connecté sur domaine 2003.
J'ai beau chercher, impossible de mettre la main sur la liste des identifiants "proxy" sauvegarder. J'ai en effet un petit historique d'identifiants obsolètes sur la fenetre d'authentification mais je sais pas comment faire du ménage dessus.
J'ai bien tenté ça :
http://www.tek-tips.com/viewthread.cfm?qid=1107088
et ça :
http://support.microsoft.com/defau [...] =1&SD=HSCH
Mais je n'ai tout simplement pas les entrées de ma liste proxy.
Où sont stockés ces foutues informations ?? Est-ce dans la SAM : C:\WINDOWS\system32\config ???
Message édité par akizan le 06-11-2012 à 11:12:35