Normalement, si tu as extrait les hashs depuis le SAM et le SYSTEM, tu n'as plus qu'à retrouver les mots de passe. Mais pour ça, pas de magie, ça sera Brute-force, dictionnaire, hybride, rainbow table et base de données en ligne.

Décrypter le fichier SAM

Et avec les rainbow table sur ophcrack le temps sera t il réduit par rapport à une attaque brute force ?

Oui.
Le principe de la Force Brute sur un Hash, c'est que le logiciel va prendre un mot, le hash, puis le comparer à celui qu'il doit cracker.
Les rainbow tables stockent déjà les hashs. Le travail restant étant de comparer, on passe de 3 opérations à effectuer par mot, à une seule.

pour mon info personnel, qu' est ce qui fait que le SAM et le SYSTEM sont liés ?

Le fichier SAM est chiffré (Avec RC4 128bits), le fichier SYSTEM contient la clé (Syskey) que l'on peut extraire avec Bkhive.
De manière grossière, on peut dire que SYSTEM est la clé qui permet d'ouvrir le fichier SAM pour accéder aux hash NTLM.

qqn paut me dire ce que je dois comprendre svp ? mdp.jpg

Vu la qualité de ton image, c'est un peu dure de voir. Peux-tu posté une image de meilleure résolution? Mais il semblerait que t'es trouvé plus mot de passe.

Yep voila : http://gyazo.com/1adc882b184448ed94c64fabaa2309aa

Ok, je vois mieux. Tes mots de passe sont dans la dernière colonne. Les mots de passe avant viennent du fait qu'ils sont chiffrés en LM Hash. Or, ce type de chiffrement est obsolète pour plusieurs raisons :

1. Si la longeur du mot de passe est supérieure à 14, il tronc à 14;
2. Il coupe la valeur tronquée en deux sous-partie de 7 caractères. Dans le cas où le mot de passe est inférieure à 14, il complète le mot de passe pour arriver à 14.
3. Il chiffre chacune des deux parties puis concatène le résultat, ce qui donne le LM Hash

Au fait, les deux premières colonnes correspondent à la première et deuxième partie du mot de passe.

Et petite précision, dû à son implémentation, si le mot de passe est inférieure ou égale à 7 caractères, alors la deuxième partie sera toujours identique car auto-complétée par l'algorithme.

Décrypter le fichier SAM

Waw super merci, donc le mot de passe admin est celui qui est tout en haut à droite. Et et ce que la colonne tout à gauche correspond au nom d utilisateur ? ( car j ai essayé mais ça n a pas fonctionné ... )

Ben ta colonne de gauche est désignée par le nom "User" donc oui, ce sont les comptes utilisateurs. Par contre là, tu aurais pu réfléchir un peu avant de poser ta question

Décrypter le fichier SAM

C était pour une simple confirmation, merci.

Bonsoir.

Habituellement récupérer les fichiers pour les bruteforcer n'est pas un problème.
Soit je boot sur une live CD pour copier les fichiers, soit je met le hdd sur un adaptateur usb pour le lire depuis un autre PC.
Mais là je tombe sur une difficulté supplémentaire non prévue : le disque est chiffré avec bitlocker (en auto-déchiffre au boot).
Naturellement je n'ai pas les droits d'admin sinon ce ne serait pas drôle...
Là comme au boot on tombe sur l'identification de windows, le passage du déchiffrement bitlocker au boot se fait en automatique (j'ai déjà vu BL demander le mot de passe au boot).
J'en déduit donc que la clef doit être inscrite quelque part sur le MBR pour permettre à windows de se lancer.
Heureusement que c'est pas du TC sinon marron.

Je commence seulement sur ce pb et je ne sais pas trop par où commencer pour récupérer ces deux fichiers.
Pouvez-vous m'aider à trouver une solution ?

(oui, je suis déjà en train de lire http://hackademics.fr/showthread.php?3313 et de chercher plus en avant sur le forum mais l'un n’empêche pas l'autre)


Merci.

Et dsl d'avoir remonter un vieux sujet, c'est le plus proche que j'ai trouvé sur mon pb.