Uncle SAM (zdobywanie i rozkodowanie)

Uncle SAM by mynio

// tekst tylko w celach edukacyjnych, autor nie odpowiada za wykorzystanie zdobytej wiedzy.

witam,

czytając różne fora dyskusyjne, często można sie spotkać z tematem łamania haseł w win z rodziny NT, cały czas powstają pytania i nie dla wszystkich, wszystko jest do końca jasne. Czasami nie wszystkie metody okazują się skuteczne. Dlatego, dla rozwiania wszelkich wątpliwości postanowiłem napisać ten art.

W poniższym tekście postaram się przedstawić znane mi sposoby na zdobywanie i rozkodowanie plików SAM.

Teoria:

Security Accounts Manager czyli SAM, jest to plik, w którym przechowywane są hasła użytkowników systemów z rodziny NT (czyli: win NT, win 2000, win XP, win 2003). Należy wspomnieć, że w plikach SAM znajdują się wyłącznie zaszyfrowane lokalne hasła lub hasła użytkowników z danej domeny ale zależy to od funkcji pełnionej przez dany komputer, tzn. jeśli jest zwykłą stacją roboczą to przechowuje hasła swoich użytkowników, jeśli jest serwerem posiada hasła z użytkowników domeny, logujących się na danym serwerze. Nie trudno więc zauważyć, że rozkodowanie SAM`a daje nam możliwość do przejęcia kontroli nad siecią.

     Lokalizacja pliku SAM w systemie:

     %systemroot%\system32\config lub w rejestrze HKEY_LOCAL_MACHINE\SAM

Niestety żaden z użytkowników nie ma uprawnień do otwierania i edytowania tych ścieżek, nawet zalogowanie się jako administrator nie zmieni tej sytuacji.

Praktyka:

Powszechnie znane sposoby na rozkodowanie plików SAM coraz częściej okazują się nieskuteczne, spowodowane jest to zmianą algorytmu szyfrowania tego pliku po zainstalowaniu Service Packa 2, na win NT. Lub jednej z poprawek o podobnym znaczeniu na pozostałych systemach. Konkretnie mówiąc pojawił się program nazwany SYSKEY, który zwiększa szyfrowanie SAM`a z szyfrowania 40bit do szyfrowania 128bit, powoduje to nieskuteczność większości sposobów i programów do łamania haseł z plików SAM.
Czyli m.in:
1) uruchamianie komputera z innego systemu operacyjnego
2) korzystanie z programu NTFSDOS
3) zdobywanie pliku z katalogu REPAIR

Dzięki powyższym sposobom zdobedziemy plik SAM ale nie będziemy w stanie go rozkodować, jeśli uruchominy został SYSKEY o czym dalej.

Jak dowiedzieć się czy SYSKEY jest włączony?
Najprościej używająć kombinacji klawisz [win] +[r] i wpisaniu polecenia "syskey" (bez cudzysłowów). Pojawi się okienko, w którym będzie widoczna istotna dla nas wiadomość. Należy jeszcze wspomnieć, że raz włączona funkcja SYSKEY nie da się wyłączyć, a wszelkie próby wyłączenia go mogą doprowadzić do uszkodzenie bazy haseł SAM.

Co zrobić jeśli SYSKEY nie jest włączony?
Najlepiej użyć jednej powyższychi w/w metod. Czyli:
1) bierzemy jakąś dystrybucję linuksa, która uruchamia się bootowalnej płyty np. Knoppix, otwieramy ścieżkę podaną powyżej i kopiujemy SAM na dyskietkę.

2) NTFSDOS jest to sterownik dla DOS`a, który umożliwia odczytywanie partycji sformatowanymi w NTFS, gdyż przeważnie na tego typu partycjach instaliuje się systemy z rodziny NT. Działa on poprzez podmontowanie partycji NTFS, jako dysku logicznego, a w rezultacie udostępnia wszystkie pliki bez względu na uprawnienia (łącznie z SAM).

3) jest to metoda moim zdaniem najgorsza ponieważ, chociaż w katalogu %systemroot%\system32\repair znajduje się kopia pliku SAM, jednak są tam hasła kont utworzonych podczas instalacji. (jeśli admin systemu jest w miarę mądry usunął tą lokalizację)

Co zrobić jeśli SYSKEY jest włączony?
Jest to o wiele powszechniejsze zjawisko i niestety bardzo trudne do obejścia. Ale co to dla nas!
1) Polecam użycie programu LopthCrack 4, ponieważ tylko ta wersja, obecnie najnowsza umożliwia wyciąganie hash`ów z SAM`ów zakodowanych SYSKEY`em. Czyli instalujemy go na kompie i działamy, każdy chyba będzie wiedział jak to obsłużyć.
Czasami jednak nie mamy uprawnień do instalowania więc co wtedy? Czytaj dalej.

2) Drugi sposób, który moim zdaniem jest najskuteczniejszy to użycie programu pwdump2, jednak jest tu pewien haczyk, mianowicie chodzi o to, że by używać tego programu trzeba mieć uprawnienia administratora. Trzeba więc trochę pokombinować. Jednak opłaca się gdyż wyciągnięte hash`e zapisujemy do pliku tekstowego i w domu rozkodowujemy LopthCrackiem 4, bądź Cain`em 2.5 i mamy hasełka.
Poniżej przedstawię sposób, którego ja czasmi używam i zawsze mam 100% efekt.
     Tutorial:
     1) gdy zobaczymy zostawionego kompa, na którym jest zalogowany użytkownik o uprawnieniach administratora (np.      nauczyciel wyszedł do łazienki, na kawę, na papierosa etc.) wkładamy dyskietkę, na którą wcześniej w domu      skopiowaliśmy pwdump2.
     2) przechodzimy do wiersza poleceń (np. [win] + [r] i piszemy cmd i [enter]
     3) przechodzimy na dyskietkę (przeważnie "a:")
     4) wpisujemy polecenie "pwdump2 > pass.txt" co spowoduje utworzenie pliku pass.txt, w którym znajdują się      zaszyfrowane hasła.
     5) wyciągamy dyskietkę i grzecznie odchodzimy, w domu rozkodowujemy poprzez metodę "Import from txt files" w      LopthCrack`u 4.

Wydaje się, że to trudne i nie możliwe do wykonania ale zapewniam, że po małym treningu w domu cała operacja zajmie ok. 5sec, a my zdobędziemy hasła. Mając w ten sposób hasła, próbujemy logować się na innych kompach (jako jeden z użytkowników, którego hasło zdobyliśmy) na innych kompach i powtarzamy operację tyle razy ile chcemy zdobyć haseł.
Pochwalę się, że w/w metodą w ciągu tygodnia zdobyłem loginy i hasła do 25 szkolnych kont. To chyba o czymś świadczy?

Myślę, że w tym tekście rozwiałem wątpliwości niektórych z Was, a może niektórzy stracili nadzieje na swój pierwszy hack, radzę jednak próbować i nie poddawać się, gdyż tylko wtedy jesteśmy w stanie coś osiągnąć.

Resztę zostawiam wam.

---