Authentification Proxy sur XP [Résolu]

Authentification Proxy sur XP [Résolu] - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 19-10-2012 à 15:23:43    

Bonjour,
 
Le contexte :
- Proxy externe à l'entreprise qui demande des identifiants (user + mot de passe)
- AD en interne / PC XP connecté sur domaine 2003.
 
J'ai beau chercher, impossible de mettre la main sur la liste des identifiants "proxy" sauvegarder. J'ai en effet un petit historique d'identifiants obsolètes sur la fenetre d'authentification mais je sais pas comment faire du ménage dessus.
 
http://imageshack.us/a/img11/4650/proxyc.png
 
J'ai bien tenté ça :
http://www.tek-tips.com/viewthread.cfm?qid=1107088
et ça :
http://support.microsoft.com/defau [...] =1&SD=HSCH
 
Mais je n'ai tout simplement pas les entrées de ma liste proxy.
 
Où sont stockés ces foutues informations ?? Est-ce dans la SAM : C:\WINDOWS\system32\config ???


Message édité par akizan le 06-11-2012 à 11:12:35
Reply

Marsh Posté le 19-10-2012 à 15:23:43   

Reply

Marsh Posté le 19-10-2012 à 15:52:16    

C'est dans les mots de passe stockés dans ie je suppose.  
 
Pour ca tu va dans outils -> options internet -> général -> historique de navigation -> supprimer -> supprimer les mots de passes


---------------
http://lacabanedeladmin.trickip.net/
Reply

Marsh Posté le 19-10-2012 à 16:01:12    

hé non :( j'ai aussi essayé ça...

Reply

Marsh Posté le 19-10-2012 à 16:01:28    

Et j'ai le souci sur l'ensemble des Pc du parc :(

Reply

Marsh Posté le 06-11-2012 à 11:12:16    

J'ai finalement trouvé grâce à l'outil de Nir Sofer :
http://www.nirsoft.net/utils/netwo [...] overy.html
 
Les comptes sur un XP sont sauvegardés ici :
 
Starting from Windows XP, the network passwords are encrypted inside the Credentials file, located under Documents and Settings\<User Name>\Application Data\Microsoft\Credentials\<User SID>. Some passwords may also be stored in the Credentials file under Documents and Settings\<User Name>\Local Settings\Application Data\Microsoft\Credentials\<User SID>.
 
Pour mon cas, il s'agissait d'éditer le fichier Credentials de Documents and Settings\<User Name>\Local Settings\Application Data\Microsoft\Credentials\<User SID>.


Message édité par akizan le 06-11-2012 à 11:17:23
Reply

Marsh Posté le 06-11-2012 à 13:58:03    

Par contre, je me pose la question de comment ça se décrypte ce fichier...
Selon Nir Sofer :
 
The Credentials file is encrypted with the SHA hash of the log-on password, and without that hash, the Credentials file cannot be decrypted.  
 
Je croyais que décrypter du SHA, c'était encore trop complexe ???
 
Edit : des infos ici
http://media.blackhat.com/bh-us-11 [...] ade_WP.pdf


Message édité par akizan le 06-11-2012 à 16:29:10
Reply

Marsh Posté le 06-11-2012 à 21:17:19    

C'est pour ça que c'est marqué "The SHA-1 hash of the user’sWindows password is needed to decrypt DPAPI protected data.
As explained in section 6, the best option to get this SHA-1 hash is to crack the Windows password and hash it back into SHA-1. The other option is to try to find it in a Windows
memory dump but this is less reliable."

Reply

Marsh Posté le 07-11-2012 à 09:16:50    

donc selon toi, l'outil de Nir Sofer "crack" le mot de passe du compte Windows ?
Ou alors on peut juste récupérer le SHA-1 hash du compte windows (ça je pense c'est pas trop compliqué) et ensuite il utilise DPAPI pur décrypter le fichier credentials ?

Reply

Marsh Posté le 07-11-2012 à 12:00:34    

Oui il le crack en le choppant dans la base SAM puis si le LM existe c'est pas dur d'avoir le mot de passe, si c'est du pur NTLM il essaie de le cracker et au pire il essaie de retrouver dans le fichier d'hibernation le hash sha1 s'il existe

Reply

Marsh Posté le 07-11-2012 à 12:07:59    

Sauf que les comptes windows du domaine ne sont pas stockés dans la SAM du poste...
En fait, je suis surtout surpris de la rapidité à laquelle l'outil récupère mon mot de passe Office 365 car celui ci est également stocké dans le credential :) :)
 
Edit : j'ai fais quelques tests et en fait, je me suis aperçu que c'est le mot de passe de Lync du compte Office 365 qui était décrypté par NetPass dans le fichier Credentials !
Il n'arrive pas à récupérer le mot de passe de Outlook même s'il trouve une nouvelle entrée lorsque l'on coche la case "Mémoriser Mot de passe".
 
Du coup je vais ptre sur une mauvaise piste car peut être que Lync ne crypte pas aussi bien le mot de passe que Outlook :)
 
http://img713.imageshack.us/img713/8753/nirsoft.png


Message édité par akizan le 07-11-2012 à 14:04:40
Reply

Marsh Posté le 07-11-2012 à 12:07:59   

Reply

Marsh Posté le 07-11-2012 à 14:06:23    

Exact pour la SAM :)
Il doit récupérer le hash via les cached credentials

Reply

Marsh Posté le 07-11-2012 à 14:29:13    

Je lui ai posé la question en direct sur mon mail mais j'ai peu d'espoir d'avoir une réponse sur comment il a fait :)
 
Ha ça me parait bien ça, j'avais carrément oublié le cached credentials :)


Message édité par akizan le 07-11-2012 à 14:54:33
Reply

Marsh Posté le 07-11-2012 à 15:36:18    

J'ai essayé ça :
 
http://www.windowsitpro.com/articl [...] ws-client-
 
chez moi :
rundll32.exe keymgr.dll, KRShowKeyMgr --> Vide
control userpasswords2 --> Vide
psexec -i -d -s c:\windows\regedit.exe et HKLM \SECURITY\Cache --> Vide
 
Alors que sur un outil d'extraction des cached credentials (je le cite pas pour pas être banni ^^), il me trouve bien des informations.
 
Edit : je viens de retenter le "psexec -i -d -s c:\windows\regedit.exe" et ça marche ?! o.O
 
http://img16.imageshack.us/img16/1421/cachesecurity.png
 


Message édité par akizan le 08-11-2012 à 14:10:55
Reply

Marsh Posté le 07-11-2012 à 16:39:45    

Pour info pour Lync, y a quelqu'un qui est déjà tombé dessus :)
http://www.remkoweijnen.nl/blog/20 [...] -recovery/

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed