Nous avons à notre disposition pour ce challenge le fichier ntdis.dit d'une machine exécutant un active directory et le fichier system de la machine. Nous devons retrouver au travers de ces deux fichiers le mot de passe du compte john.

Il s'agit d'un chall plus que classique, la seule subtilité ici est que nous avons à notre disposition ici la base des comptes active directory et non le fichier SAM qui contient les comptes locaux d'un poste. Les outils classiques type pwdump ne sont donc d'aucune utilité.

Après quelques recherches, je tombe sur Reset Windows Password de chez PASSCAPE qui permet de dumper les hashs à partir d'une base active directory => c'est gagné.

Reset Windows Password se présente comme une image iso bootable, au lancement il demande si c'est une base SAM ou Active Directory :

forensic200-esr

Après quelques secondes, il nous sort l'ensemble des comptes et leur hash windows :

Administrateur:500:NO PASSWORD*********************:726a36acb62f51ecee698e66fc118683:Compte d'utilisateur d'administration:
Administrateur:500:aad3b435b51404eeaad3b435b51404ee:NO PASSWORD*********************:LM history hash:
Administrateur:500:NO PASSWORD*********************:726a36acb62f51ecee698e66fc118683:NT history hash:
Administrateur:500:NO PASSWORD*********************:fbbf55d0ef0e34d39593f55c5f2ca5f2:NT history hash:
Invité:501:NO PASSWORD*********************:NO PASSWORD*********************:Compte d'utilisateur invité:
SUPPORT_388945a0:1001:NO PASSWORD*********************:30d4a2ef16deff366bd4b9f010b1bd26:Ceci est le compte d'un fournisseur pour les service Aide et support:
SYSDREAM-TTXW4P$:1005:NO PASSWORD*********************:6580b1de7daec96c9d98dbcd2f63f527::
krbtgt:502:NO PASSWORD*********************:b316ba9fe983951bfae8262757aa6f18:Compte de service du centre de distribution de clés:
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:NO PASSWORD*********************:LM history hash:
krbtgt:502:NO PASSWORD*********************:b316ba9fe983951bfae8262757aa6f18:NT history hash:
john:1108:615a367ca6280c40b4c08420b3143e50:3fb89706895e92798aeda7a399a6c417::
john:1108:615a367ca6280c40b4c08420b3143e50:NO PASSWORD*********************:LM history hash:
john:1108:NO PASSWORD*********************:3fb89706895e92798aeda7a399a6c417:NT history hash:

Le compte qui nous intéresse ici :

john:1108:615a367ca6280c40b4c08420b3143e50:3fb89706895e92798aeda7a399a6c417::

On le donne à ophcrack en utilisant les rainbow tables de base, et il nous sort en moins de 3min:

john:1108:615a367ca6280c40b4c08420b3143e50:3fb89706895e92798aeda7a399a6c417:TGYD7OE:25G:TgYD7oE25g

ophcrack

Le flag est donc TgYD7oE25g