Comment déchiffrer la valeur DefaultPassword enregistrée dans le registre pour AutoLogon

Dans un article précédent, nous avons vu comment contourner l`écran de connexion dans Windows 7 et versions antérieures en profitant de l`outil AutoLogon proposé par Microsoft. Il a également été mentionné que le principal avantage de l`utilisation de l`outil AutoLogon est que votre mot de passe n`est pas stocké sous format texte brut, comme c`est le cas lorsque vous ajoutez manuellement les entrées de registre. Il est d`abord crypté, puis stocké de sorte que même l`administrateur du PC n`a pas accès à la même chose. Dans la publication d`aujourd`hui, nous verrons comment décrypter la valeur DefaultPassword enregistrée dans l`éditeur de registre en utilisant l`outil AutoLogon.

Tout d`abord, vous devez tout de même avoir Privilèges d`administrateur pour décrypter la valeur DefaultPassword. La raison de cette restriction évidente est que ces données système et utilisateur cryptées sont régies par une politique de sécurité spéciale, appelée autorité de sécurité locale (LSA) qui accorde l`accès uniquement à l`administrateur système. Donc, avant de passer au décryptage des mots de passe, jetons un coup d`œil à cette politique de sécurité et à ses connaissances connexes

LSA - Qu`est-ce que c`est et comment stocke les données

LSA est utilisé par Windows gérer la politique de sécurité locale du système et effectuer le processus d`audit et d`authentification sur les utilisateurs se connectant au système tout en enregistrant leurs données privées dans un emplacement de stockage spécial. Cet emplacement de stockage est appelé LSA Secrets où les données importantes utilisées par la stratégie LSA sont enregistrées et protégées. Ces données sont stockées sous forme cryptée dans l`éditeur de registre, dans la clé HKEY_LOCAL_MACHINE / Security / Policy / Secrets , qui n`est pas visible pour les comptes d`utilisateur généraux en raison des listes de contrôle d`accès restreintes . Si vous disposez des privilèges d`administration locaux et que vous connaissez les secrets de LSA, vous pouvez accéder aux mots de passe RAS / VPN, aux mots de passe Autologon et aux autres mots de passe / clés du système. Voici une liste pour en citer quelques-uns: $ MACHINE.ACC

• : En rapport avec Domain Authentication DefaultPassword
• : Valeur de mot de passe chiffrée si AutoLogon est activé NL $ KM
• : Secret clé utilisée pour crypter les mots de passe du domaine en cache L $ RTMTIMEBOMB
• : Pour stocker la dernière valeur date pour l`activation de Windows Pour créer ou modifier les secrets, un ensemble spécial d`API est disponible pour les développeurs. n`importe quelle application peut avoir accès à l`emplacement des Secrets LSA mais seulement dans le contexte du compte utilisateur actuel

Comment décrypter le mot de passe AutoLogon

Maintenant, afin de déchiffrer et de déraciner la valeur

DefaultPassword stocké dans les Secrets LSA, on peut simplement lancer un appel API Win32. Un programme exécutable simple est disponible pour obtenir la valeur décryptée de DefaultPassword. Suivez les étapes ci-dessous pour le faire: Téléchargez le fichier exécutable à partir d`ici - il ne fait que 2 Ko.

1. Extrayez le contenu du fichier
2. DeAutoLogon.zip. Faites un clic droit
3. Fichier DeAutoLogon.exe et exécutez-le en tant qu`Administrateur. Si la fonction AutoLogon est activée, la valeur DefaultPassword doit se trouver devant vous
4. Si vous essayez d`exécuter le programme sans privilèges d`administrateur, vous auriez une erreur. Par conséquent, assurez-vous d`acquérir des privilèges d`administrateur local avant d`exécuter l`outil. J`espère que cela aide!

Criez dans la section des commentaires ci-dessous au cas où vous auriez des questions.