Łamanie haseł w Windows XP - ODCZYTYWANIE haseł administratora i użytkowników. Czasami potrzeba wejść do systemu ,który przy logowaniu wymaga podania hasła. Jak zresetować hasło Administratora jest opisane wcześniej we FAQ ale ODCZYTAĆ hasło Administratora lub jakiegoś użytkownika to co innego. Istnieją wyspecjalizowane programy do tego np: SamInside ,LC5 ,Elcomsoft Proactive System Password Recovery i inne. Umożliwiają one wydobycie m.in tzw. Lm Hash hasła dla danego użytkownika za pomocą funkcji "Import local users using LSASS" (o ile zalogowani jesteśmy na Windowsie z prawami Administratora) lub odczytują z pliku SAM i SYSTEM. Można je znaleźć w WindowsConfig lub WindowsRepair lub WindowsRepairRegBack i tu zaczynają się schody. Plik SAM jest jest zabezpieczony i gdy chcemy go skopiować musimy zrobić to np. startując ze specjalnej dyskietki startowej (ze zwykłej nie wejdziemy na partycje sformatowane pod NTFS) ,spod bootowalnej płyty jakiegoś linuxa (Knoppix,Aurox - nie zapiszemy nic na NTFS) ,bootowalnej płyty ERD Commander (chodzi FAT32 i NTFS normalnie ) itp. Do zaimportowania pliku do danego programu nie musimy go nigdzie kopiować o ile zalogowani jesteśmy na Windowsie z prawami Administratora. Jeżeli system stworzył plik SAM.bak i SYSTEM.bak możemy je bez problemu skopiować (ucinając końcówkę .bak) i wykorzystać do znalezienia hashy. Jeśli potrzebujemy plik syskey.key używamy programu http://www.insidepro.com/download/getsyskey.zip i w okienku DOS-a wykonujemy getsyskey c:windowsrepairsystem syskey.key (gdzie c:windowsrepairsystem jest ścieżką do pliku SYSTEM ) co stworzy nam plik syskey.key tam gdzie był getsyskey. Jeśli potrzebujemy hashy używamy http://www.insidepro.com/download/gethashes.zip i w okienku DOS-a wykonujemy gethashes sam syskey.key (musimy mieć w tym samym katalogu co gethashes plik sam). W okienku pokaże nam loginy uzytkowników i znalezione hashe. Najwygodniej użyć bootowalnej płytki z programem ERD Commander - po załadowaniu uzyskujemy kawałek systemu Windowsa ,działa DHCP (więc o ile korzystamy z tego mamy od razu dostęp do internetu) ,działa dostęp do wiersza poleceń (okienko DOS) ,więc możemy wykonywać polecenia getsyskey i gethashes ,a także działa program SAMInside. przykładowy Lm Hash wygląda tak: 2C3179EEDBE3F21225AD3B83FA6627C7 Załóżmy ,że mamy już Lm Hash hasła danego użytkownika i co dalej ? Musimy go odszyfrować. Większość programów do łamania haseł umożliwia kilka różnych rodzajów metod ataków na Lm Hash żeby go złamać. Na liście użytkowników w danym programie do łamania haseł wybieramy użytkownika ,w opcjach ustawiamy metodę ataku oraz czy ma użyć dużych liter i/lub małych i/lub znaków specjalnych i START. Brute force attack - automatyczny test wszystkich możliwych kombinacji znaków w haśle. Odszyfrowanie może trwać parę godzin lub nawet dni. Dictionary attack - atak słownikowy ,trzeba sobie zrobić lub ściągnąć słowniki ze słowami w danym języku (angielski,polski...) Słownik przeważnie jest zwykłym plikiem tekstowym ze słowami (każde słowo w osobnym wierszu) z rozszerzeniem *.dic . Szybki sposób ale szukane hasło żeby go znaleźć musi być w słowniku. Hybrid attack - odmiana Dictionary attack ,można ustawić szukanie cyfry przed i po szukanym haśle. Pracochłonny też. Mask attack - atak z użyciem znaków wprowadzanych z klawiatury np @!#$ . j/w Lm tables (Pre calculated tables attack ,Rainbow tables) - rzadko używany ale dość szybki i skuteczny. Polega w sumie na tym ,że musimy wygenerować lub ściągnąć (na ebay nawet sprzedają -16 płyt DVD ok 60GB za 30$) tzw. Rainbow tables czyli tablice z wszystkimi możliwymi kombinacjami liter,cyfr,znaków. Można wygenerować je sobie samemu ale tablice zajmują od 610MB do 64Gb zależy ile liter znaków i cyfr użyjemy przy generowaniu - no i trwa to dośc długo. http://www.antsight.com/zsl/rainbowcrack/#Rainbow (wersja DOS) http://www.oxid.it/downloads/winrtgen.zip (wersja Windows) Przez przypadek znalazłem sposób jak złamać LM Hash online za pomocą Rainbow tables. Dzięki stronie http://www.plain-text.info/index/ możemy skorzystać z mocy 36 komputerów i 1,305841 Tb Rainbow tables ,które zrobią całą robotę za nas. Wchodzimy na stronkę ,wpisujemy Security code z obrazka i wklejamy LM Hash z programu pwdump2 i z menu wybieramy lm. Czasami serwer jest zajęty - trzeba po paru minutach odświeżyć i spróbować ponownie. Potrzebujemy pliku z hashami w formacie programu pwdump --> http://www.bindview.com/Resources/RAZOR/Files/pwdump2.zip użycie: w okienku DOS wpisać: pwdump2 (a tu numer procesu PID lsass.exe) >hasla.txt przykład: pwdump2 924 >hasla.txt co stworzy plik txt z hashami haseł tam gdzie katalog z pwdump.exe numer PID pokazuje np. program Process Explorer ze strony http://www.sysinternals.com/utilities/processexplorer.html lub Procview http://www.ltn.lv/~kblums/download/pview.exe przykładowe hasło użytkownika test w formacie programu pwdump: test:1006:2c3179eedbe3f21225ad3b83fa6627c7:5755d0293a06156da71335e8f954cdc5::: gdzie test-nazwa użytkownika 1006-nr RID 2c3179eedbe3f21225ad3b83fa6627c7-LM Hash 5755d0293a06156da71335e8f954cdc5-NT Hash zamiast pwdump2 można więc użyć innego programu o ile pokaże nam te informacje będziemy mogli złożyć sami zapytanie na stronę w formacie programu pwdump2 OK -powiedzmy ,że wkleiliśmy poprawny Lm Hash ,wybraliśmy z menu lm - naciskamy więc guzik Crack Jeśli nie mamy szczęścia strona przyjmie nasze zapytanie do obróbki i po jakimś czasie poda nam hasło. Czasami jednak ktoś przed nami dany Hash już liczył i mamy gotowy już wynik. Wyniki są podzielone na części po 7 znaków. Najpierw 2 część hasła potem 1. dla przykładu kopjujemy 2c3179eedbe3f212 i z menu strony po lewej wybieramy SEARCH-Query wklejamy Hash i odczytujemy 1 część liter hasła w rubryce "VALUE" - dla naszego przykładu będzie to 20TEST2 potem kopjujemy 2 część 25ad3b83fa6627c7 i z menu strony po lewej wybieramy SEARCH-Query wklejamy Hash i odczytujemy 1 część liter hasła w rubryce "VALUE" - dla naszego przykładu będzie to 0 całe złamane hasło będzie zatem 20TEST20 http://lasecwww.epfl.ch/~oechslin/projects/ophcrack/ kolejna strona łamiąca za nas hasła można za darmo ściągnąć bootowalną płytkę z wersją programu Ophcrack 1.0 i tabelą ściągnij ophcrack-livecd (używa tabel SSTIC04-10k): http://prdownloads.sourceforge.net/ophcrack/ophcrack-livecd-1.0.iso?download http://mesh.dl.sourceforge.net/sourceforge/ophcrack/ophcrack-livecd-1.0.iso Po uruchomieniu płytki samoczynnie włącza się program i pokazuje nam loginy użytkowników w systemie ,załadowuje do pamięci RAM Rainbow Tables i rozpoczyna szukanie haseł. Można mu też ręcznie wskazać pliki Rainbow Tables na dysku ,wskazać gotowy hash do łamania w formacie programu pwdump2 lub wskazać katalog z plikami SAM i SYSTEM. Jest też wersja na Windows Ophcrack 2.2 ,która wymaga dodatkowo ściągniecia Rainbow Tables : http://lasecwww.epfl.ch/SSTIC04-10k.zip (388MB plik) komputer do łamania hasła musi mieć co najmniej 256MB pamięci RAM. http://lasecwww.epfl.ch/SSTIC04-5k.zip (720MB plik) komputer do łamania hasła musi mieć co najmniej 512MB pamięci RAM. Tabele WS-20k (pliki 7.5 GB ) są już płatne ,a komputer do łamania hasła musi mieć co najmniej 1GB pamięci RAM. HAL http://www.hal.trzepak.net/faq/winxp/faqxp.html -strona główna FAQ XP Pochodzi z www.hal.trzepak.net |