Bonjour,
 
Le contexte :
- Proxy externe à l'entreprise qui demande des identifiants (user + mot de passe)
- AD en interne / PC XP connecté sur domaine 2003.
 
J'ai beau chercher, impossible de mettre la main sur la liste des identifiants "proxy" sauvegarder. J'ai en effet un petit historique d'identifiants obsolètes sur la fenetre d'authentification mais je sais pas comment faire du ménage dessus.
 

 
J'ai bien tenté ça :
http://www.tek-tips.com/viewthread.cfm?qid=1107088
et ça :
http://support.microsoft.com/defau [...] =1&SD=HSCH
 
Mais je n'ai tout simplement pas les entrées de ma liste proxy.
 
Où sont stockés ces foutues informations ?? Est-ce dans la SAM : C:\WINDOWS\system32\config ???

C'est dans les mots de passe stockés dans ie je suppose.  
 
Pour ca tu va dans outils -> options internet -> général -> historique de navigation -> supprimer -> supprimer les mots de passes

hé non j'ai aussi essayé ça...

Et j'ai le souci sur l'ensemble des Pc du parc

J'ai finalement trouvé grâce à l'outil de Nir Sofer :
http://www.nirsoft.net/utils/netwo [...] overy.html
 
Les comptes sur un XP sont sauvegardés ici :
 
Starting from Windows XP, the network passwords are encrypted inside the Credentials file, located under Documents and Settings\<User Name>\Application Data\Microsoft\Credentials\<User SID>. Some passwords may also be stored in the Credentials file under Documents and Settings\<User Name>\Local Settings\Application Data\Microsoft\Credentials\<User SID>.
 
Pour mon cas, il s'agissait d'éditer le fichier Credentials de Documents and Settings\<User Name>\Local Settings\Application Data\Microsoft\Credentials\<User SID>.

Par contre, je me pose la question de comment ça se décrypte ce fichier...
Selon Nir Sofer :
 
The Credentials file is encrypted with the SHA hash of the log-on password, and without that hash, the Credentials file cannot be decrypted.  
 
Je croyais que décrypter du SHA, c'était encore trop complexe ???
 
Edit : des infos ici
http://media.blackhat.com/bh-us-11 [...] ade_WP.pdf

C'est pour ça que c'est marqué "The SHA-1 hash of the user’sWindows password is needed to decrypt DPAPI protected data.
As explained in section 6, the best option to get this SHA-1 hash is to crack the Windows password and hash it back into SHA-1. The other option is to try to find it in a Windows
memory dump but this is less reliable."

donc selon toi, l'outil de Nir Sofer "crack" le mot de passe du compte Windows ?
Ou alors on peut juste récupérer le SHA-1 hash du compte windows (ça je pense c'est pas trop compliqué) et ensuite il utilise DPAPI pur décrypter le fichier credentials ?

Oui il le crack en le choppant dans la base SAM puis si le LM existe c'est pas dur d'avoir le mot de passe, si c'est du pur NTLM il essaie de le cracker et au pire il essaie de retrouver dans le fichier d'hibernation le hash sha1 s'il existe

Sauf que les comptes windows du domaine ne sont pas stockés dans la SAM du poste...
En fait, je suis surtout surpris de la rapidité à laquelle l'outil récupère mon mot de passe Office 365 car celui ci est également stocké dans le credential
 
Edit : j'ai fais quelques tests et en fait, je me suis aperçu que c'est le mot de passe de Lync du compte Office 365 qui était décrypté par NetPass dans le fichier Credentials !
Il n'arrive pas à récupérer le mot de passe de Outlook même s'il trouve une nouvelle entrée lorsque l'on coche la case "Mémoriser Mot de passe".
 
Du coup je vais ptre sur une mauvaise piste car peut être que Lync ne crypte pas aussi bien le mot de passe que Outlook
 

Exact pour la SAM
Il doit récupérer le hash via les cached credentials

Je lui ai posé la question en direct sur mon mail mais j'ai peu d'espoir d'avoir une réponse sur comment il a fait
 
Ha ça me parait bien ça, j'avais carrément oublié le cached credentials

J'ai essayé ça :
 
http://www.windowsitpro.com/articl [...] ws-client-
 
chez moi :
rundll32.exe keymgr.dll, KRShowKeyMgr --> Vide
control userpasswords2 --> Vide
psexec -i -d -s c:\windows\regedit.exe et HKLM \SECURITY\Cache --> Vide
 
Alors que sur un outil d'extraction des cached credentials (je le cite pas pour pas être banni ^^), il me trouve bien des informations.
 
Edit : je viens de retenter le "psexec -i -d -s c:\windows\regedit.exe" et ça marche ?! o.O
 

 

Pour info pour Lync, y a quelqu'un qui est déjà tombé dessus
http://www.remkoweijnen.nl/blog/20 [...] -recovery/