Salut les gars! Que se passe-t-il?
Voici un petit article expliquant pwdump7 (toujours utile), aujourd’hui il existe encore de nombreuses entreprises et sociétés qui sont restées sur d’anciennes versions de Windows (7). je vais t’expliquer pwdump7 dans le piratage du système !!
Les pirates informatiques accèdent à des ordinateurs spécifiques sur un réseau via au piratage du système . Le piratage des systèmes est le processus d’exploitation des vulnérabilités des systèmes électroniques dans le but d’obtenir un accès non autorisé à ces systèmes. Les pirates utilisent diverses techniques et méthodes pour y accéder, notamment le phishing, l’ingénierie sociale et la récolte de mots de passe.
- Pwdump7 dans le hack du système :
Le gestionnaire de comptes de sécurité, ou SAM en abrégé, contrôle tous les comptes d’utilisateurs et mots de passe. Il sert de base de données. Chaque mot de passe est haché avant d’être enregistré dans SAM. La LSA (Local Security Authority) est chargée de confirmer la connexion de l’utilisateur en comparant les mots de passe avec la base de données maintenue dans SAM. Dès le démarrage de Windows, SAM démarre en arrière-plan. Les mots de passe cryptés et enregistrés dans SAM peuvent être récupérés à partir du registre ; ouvrez simplement l’éditeur de registre et accédez à HKEY LOCAL MACHINESAM. SAM se trouve dans C:\Windows\System32\config.
Table of Contents
Sous Windows 7 et 10 :
Cet utilitaire télécharge les informations d’identification du fichier SAM du système après l’avoir extrait. Entrez simplement la ligne suivante dans l’invite de commande après le téléchargement pour utiliser cet outil.
Commande : PwDump7.exe
En conséquence, tous les hachages enregistrés dans le fichier SAM seront annulés. L’étape suivante consiste à utiliser les commandes suivantes pour enregistrer les valeurs de registre du fichier SAM et du fichier système dans un fichier système :
reg save hklm\sam c:\sam
reg enregistrer hklm\system c:\system
Avec la commande susmentionnée, nous stockons les valeurs pour obtenir les données du fichier SAM.
pwdump7.exe (vidage des mots de passe système)
pwdump7.exe -s <samfile> <systemfile>
(Vider les mots de passe des fichiers)
pwdump7.exe -d <nom du fichier> [destination]
(Copier le nom du fichier vers la destination)
pwdump7.exe -h (Afficher cette aide)
Exemple :
Dans cet exemple j'ai utiliser une machine Windows 10.
Mimikatz :
Il s’agit d’une application open source qui permet aux utilisateurs d’afficher et d’enregistrer des données d’authentification, telles que les tickets Kerberos. Cet ensemble d’outils fonctionne avec les versions actuelles de Windows et comprend un ensemble diversifié de cyberattaques pour faciliter l’évaluation des vulnérabilités. les pirates utilisez Mimikatz pour voler des informations d’identification et élever des privilèges, car les logiciels et systèmes de protection des points finaux anti-virus Souvent, ils ne parviennent pas à détecter ou à prévenir les attaques.
L’attaque de hachage :
Dans cette attaque, le pirate informatique prend un identifiant utilisateur crypté et, sans le déchiffrer, le réutilise pour persuader un système d’authentification d’initier une nouvelle session autorisée sur le même réseau. L’attaquant doit d’abord collecter les hachages du système cible à l’aide de l’un des nombreux programmes de vidage de hachage, tels que pwdump7. Pour effectuer un assaut, passez le hachage. Le pirate informatique utilise ensuite ces outils pour télécharger les hachages collectés vers un service fourni par l’autorité de sécurité locale (LSASS).
Tout cela est dû à une faille de sécurité dans la nouvelle technologie de hachage NTLM (Local Area Network Manager). Une fois les capacités administratives acquises, ces attaques ciblent fréquemment les ordinateurs Windows. Lorsqu’un attaquant tente d’accéder au système cible, ces attaques font souvent croire à un système d’authentification basé sur Windows que le point de terminaison de l’attaquant est celui de l’utilisateur authentique et qu’il fournira automatiquement les informations d’identification requises. Tout cela est possible sans utiliser le mot de passe d’origine.
Une fonction dite de sécurité Protection des informations d’identification Microsoft Windows Defender est ajouté à Windows 10 pour résoudre ces vulnérabilités (WDCG). Seules les applications sécurisées et privilégiées peuvent accéder aux données et interagir avec elles. Les applications malveillantes ne peuvent plus accéder aux hachages NTLM, même si elles sont exécutées avec tous les privilèges administratifs, grâce à la virtualisation LSASS.