[oia]

Все мы сталкивались с проблемой когда грозные дяди Админы перекрывают нам кислород и вешают ярлык "Гость" с которым мы шастаем по их владениям 8-(... Я думаю Вы догадались, что разговор пойдет о волшебных пируэтах палочки (то есть Квартета - руки, извилины, клава и мышка) при помощи которых Вы сами станете админом сети, вне зависимости ваша это сеть или сеть атакуемого сервера.. Вижу слюнки радости уже заляпали монитор... 8-) итак, начнем мой юный взломщик...
В большинстве случав вашей целью будет файлик базы данных с приятно греющим душу названием - SAM (Security Account Management ) Эта база одинаково полезна на каждом компьютере Оси окошек, подвида Энтишные (NT). Ведь если вам нужно подмять под себя виндовс 95-98 или Миллениум то данная база просто не нужна из-за малой защищенности этих осей. (если кого интересует то по просьбам жаждущих я навояю статейку и про эти оси. Просьба радостным обладателям виндовса 3.11 НЕ ПИСАТЬ !!! так как в вашем случае выходом является открыть деревянное окошко и выкинуть своего кремниевого друга.)


Итак как всем надеюсь известно представителями подвида Энтишных являются такие твари:
- Windows NT
- Windows 2000
- Windows XP (Профишка и Домашка)


Именно о них и пойдет речь. Всвязи с тем что в сети, офисах, универах, клубах Nt-филов, существуют все из перечисленных представителей, то просто перечислю все способы стать БОГОМ в них, а уж вам карты в руки для экспериментов.


В упомянутой нами базе данных (СЭМ - не путать с игрой!!!) хранится вся информация для аутентификации пользователей Windows NT при нормальном или сетевом входе в систему. Сама база представляется одной из ветвей реестра Windows NT. Она распостроняется в кусте HKEY_LOCAL_MACHINE и обзывается SAM

Сам файл SAM находится по такому адресу:

Каталог Винды\system32\Config

Или вы можете воспользоваться сжатой архивной копией этого файла по адресу

Каталог Винды\Repair

Итак, а теперь рассматриваем способы:

Человеческий фактор

Один из самих простых способов это просто спросить у Админа его пароль или пароль его коллеги из этой группы (коллега тоже должен иметь привилегии админа или входить в группу администраторов). В данном случае у нас есть несколько вариантов:

- Можно сопоставить необходимость вам привилегий Админа с вашими финансами, и подружившись с админом пригласить его на пивно-спиртную попойку. В этом случае надо учитывать что Админы это чемпионы по Литрболу и каждый из них имеет дома золотой кубок лучшего игрока, поэтому надо очень постараться что б клиент дошел до кондиции. А дойдя до кондиции вы можете узнать не только пароль от его аккаунта но и пикантные подробности работы всего учреждения + кучу паролей самих пользователей. Хотя попадаются чудики которые просто отключаются 8-( вот тут и пролетает над вами птенчик ОБЛОМИНГО.....

- Можно втереться в его доверие, или попробовать это сделать при помощи подружки приятной внешности, большинство админов знакомы с трехмерными девушками и вашей знакомой заинтересуются как новым релизом любимой игры…или патчиком для системы. В моей практике еще не было админов с неправильной палитрой цветов (голубых) но вам может повести 8-(. Итак подруга или друг полностью заняли все свободное время нашей жертвы….Класс!!! Вам остается их проинструктировать (если конечно вы сами не являетесь одной из этих приманок) на выполнение необходимых действий, если Вы еще не забыли своей цели в процессе постановки опыта под кодовым названием "ЕВА+Админ" или "Адам+Админ" (кому какие цвета лягут). В любом случае вы получите нужную информацию с полным адресом где она лежит или погуляете на их свадьбе……ВЫ в каждом варианте в ВЫИГРЫШЕ 8-)

- Можно незаметно зайти в святая святых (рабочий кабинет админа) и там путем проверки всех бумажек и тыльной стороны клавиатуры разбогатеть словарем паролей….Остается их проверить и в 90 % случаев ваша цель достигнута.

- Если же вы не можете поговорить и познакомиться с хорошим парнем Админом в реальности, то попробуйте использовать коктейль виртуальности и социальной инженерии.

Социальная инженерия - метод при помощи которого в процессе разговора и навешивания разумной лапши жертве вы получаете необходимую информацию.

Только не стоит с криками что вы Президент США заподозрили его в террористических действиях и только после выдачи пароля отмените запуск ядерной ракеты, нацеленной на него. Хотя некоторые не имеющие чувства юмора могут просто больше не прийти на роботу и стать любимым пациентом ближайшей психушки 8-(.

Это пожалуй все способы при помощи которых можно получить пароль от самой жертвы (способы перечисленные выше универсальны для получения паролей от любой Операционной Системы)

Файловая система

Теперь углубимся в способы, связанные с файловой системой:

- Если используется файловая система типа FAT (это большая редкость, особенно в сетевых системках, но хотя попадаются кадры путающие ее с "защищенной" 8-)))) NTFS системой.) тогда:
Имея доступ к компьютеру вы просто копируете файлик SAM и начинаете его расшифровывать (о расшифровке ниже...)
Если по какой либо причине скопировать не удалось то можете перезагруззить компьютер и путем запуска с системной дискеты для виндушки 95-МЕ вы попадаете в царство ДОСа и копируете файлик оттуда
Вы так же можете просто удалить файлик SAM и тогда при перезагрузке системы вход в нее будет осуществляться без пароля!!!


- Если используется файловая система типа NTFS (в большинстве случав это действительно так) тогда:
Можете, конечно, попробовать скопировать или отрыть файлик СЭМ - но это равносильно поиску шлема виртуальной реальности в музее компьютеров типа ПОИСК.
Можете перезагруззить компьютер при помощи магической дискетки поддерживающей данную файловую систему. (такие программы являются универсальными создателями дискет для многих операционных систем.) и уже после перезагруззи и попадания в Дос вы снова копируете файлик...


- Если на компьютере стоит еще и окошко 95-МЕ то это облегчает задачу и можно произвести операции без использования ДОС.

- Кстати вы можете использовать клавиатурные шпионы стойкие от нажатия Ctrl Alt Del (так как данная процедура блокирует и закрывает все процессы не являющиеся системными, а также эта комбинация способна показать все процессы, происходящие в системе и поэтому вам нужен шпион, способный прятаться под надписью system или типа этого...)

- Если существует автоматический доступ в систему, а это бывает часто,( Windows 2000 по умолчанию)то в ветке реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrenetVersion\Winlogon , по умолчанию доступной группе Evereyone (всем пользователям), содержится имя пользователя, вошедшего в систему (DefaultUsername) и его пароль (DefaulPassword). Если удаленные подключения разрешены, любой член группы Everyone (то есть всякий зарегистрированный ) сможет смотреть эту ветвь реестра. Я думаю идея ясна 8-)

- В Windows NT policy доступны всем пользователям (в том числе и анонимным) А самое главное что даже после установки Service Pack можно узнать:
- Минимальную длину пароля
- Частоту изменения паролей (существует политика периодической смены паролей по всей сети, для увеличения безопасности)
- Количество неправильных попыток до блокировки учетной записи.
Данная информация на 50% облегчает работу. А еще в policy хранятся не зашифрованными предыдущие пароли (то есть вся история паролей данной системы) Отследив эти пароли можно найти закономерность в их выборе жертвой ( ближайшие города, памятные даты, имена знакомых, членов семьи и клички домашних животных)
Кстати существует большая вероятность что пароль повторится спустя некоторое время. (Ведь человеческая лень настолько неизмерима как непонятна "Загадочный Русский Душа...")

- Существуют еще одна интересная возможность обойти проверку пароля. Сама проверка пароля осуществляется посредством файлика (библиотеки) MSV1_0.DLL. Нам надо найти строчку с командой cmp eax, 10h или ее шестнадцатиричный эквивалент 83 F8 10 Такая строчка встречается 5 раз по данным смещения.




Начальное Виртуальное

1F6C (.75B81F6C)
1F95 (.75B81F95)
226A (.75B8226A)
22AE (.75B822AE)
22F3 (.75B822F3)

Данная проверка смещения 1F6C (.75B81F6C) - это проверка пароля для входа. Нам нужно лишь поправить эту проверку убрав ее и поставив переход:

1F9E: nop (90)
1F9F: jmp .75b8233a (e996030000)

Теперь заменив файлик прапатченным можно входить под любым пользователем используя при этом левый пароль или даже пустой пароль.

Этот же трюк юзается и для Windows 2000. кульненько!!! В этой оси необходимая строка встречается 10 раз. Изменив ее мы получим пропатченный файлик MSV1_0.DLL для Windows 2000. Остается засунуть файлик на место:

Папка ВИНДЫ\system32\

Уникален этот метод тем что не важно используется утилита syskey или нет. Даже если утилита используется то старый пароль Админа остается без изменений (это нам на руку и Админ ничего не узнает).Вот тока будет изменено последнее имя пользователя, входящего в систему, особенно если осуществлена попутка получения прав локального администратора на машине где вход осуществляется в домен. 8-( ... ничего.... и это поправимо. Надо присвоить ключам реестра нужные значения:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogo n
DefaultDomainName
DefaultUserName

Но не забудьте сделав необходимые вам действия, заменить пропатченный файлик на старенький.
Впихнуть пропатченній файл сложно, но можно. Просто перезаписать или удалить нельзя. Зато можно переименовать MSV1_0.DLL > MSV1_0.BAK а пропатченный файлик запихнуть в выше указанный адресс.(это мона сделать имея право на запись в каталог или имея права админа) Если что то не так то можно распаковать Сервис Паку 5 (так как данный файл входит в его состав) и убедить админа в необходимость пропатчить сервис паку(предварительно заменив на пропатченный файл, файл в сервис паке). Хотя можно не показываться админу и всего лишь при помощи утилиты от НОРТОНА (Др) - diskedit заменить одну шестнадцатиричную последовательность (83 F8 10 0F 84 96 03 00 00) на другую (83 F8 10 90 E9 96 03 00 00). Учтите что при ошибки запорится вся система.

Программаная сторона

Теперь углубимся в программное обеспечение при помощи которого можно спеонерить пароль находясь в сети или удаленном соединении от компьютера:

Чем больше строчек в коде программы тем больше ошибок допущено при ее написании. Это гениальное выражение на все 100 % оправдывается в Операционных системах. Ведь количество строк пропорционально количеству допущенных в них ошибок. Благодаря этим ошибкам мы получаем дыры, некоторые из них переплевывают Марианскую Впадину. При помощи них мы получаем и юзаем программы которые помогают нам добиться цели путем двух-трех кликов:

- PWDUMP2 - утилитка при помощи которой можно получить хештрованны пароли даже в системе с включенной утилитой SYSKEY. Утилита работоспособна если пользователь е запустивший , имеет привилегию "Отладка программ" и входит в клан Админов. Также утилитка полезна если с нужной системы удалось получить копию базі данных безопасности системы.

- LSADUMP2 - утилита успешно обходит средства защиты Майкрасофта, выполняет поиск идентификатора PID процесса LSASS, внедряя себя в его поток управления и извлекает секреты LSA (а ведь ЛСА хранит в себе пароли Веб и ФТП, пароли рабочих станций для доступа в домен, кэшированные хэш-коды паролей последних 10 регистировавшихся пользователей и кучу полезной шняги.)

- Repwl.exe - программа для взлома файлов с расширением *.PWL Если вы получили доступ по локалке к клиентским компам на Окошках 95-МЕ, можно узнать пароль админа, собрав все файлы с расширением *.PWL .

- Chntpw - программа для изменения паролей в ОС В основе лежит теория о том что в автономном режиме можно изменить пароль любого пользователя в хэшированном виде..

- GetAdmin (автор Константин Соболев). Эта программа позволяет нам повысить свои привилегии и влиться в едином экстазе с группой администраторов. Идея, заложенная в программе проста и гениальна. Системные процессы в NT работают под SystemAccount, а значит имеют на локальном рабочем месте админ права. К сожалению Service Pack 4 закрыл эту возможность , но это не значит что при выходе этой латки все в мире ее поставили + возможны и повторения ошибок в осях ....

- Sechole Эта программка как и описанная выше добавляет юзеров в локальную группу админов. Утилита модифицирует в оперативной памяти код вызова процедуры OpenProcess и это позволяет ей подключится к привилегирированному процессу, независимо от того, имеет ли она для этого соответствующие разрешения. После успешного подключения она работает так же как и описанная выше утилита, добавляя юзера в секту Админов.

- HK - утилита разработанная группой RAZOR, которая добавляет пользователя в группу Админов, используя при этом ложные запросы к портам LPC(Local Procedure Call - Локальный Вызов Процедур)

- AdminTrap - программа создает троянский экземпляр одного из каналов и ждет когда к нему подключится клиент (клиент должен иметь права админа). Затем прога выполняет вызов функции Win32 ImpersonateNamedPipeClient, которая назначает маркер доступа access token клиента экземпляра канала, handle серверного кольца которого указан в качестве параметра функции.Есди все прошло успешно то один из потоков проги получает полномочия пользователя-клиента троянского экземпляра канала.

Вскрытие базы

Расшифровка паролей файла SAM можно осуществить следующими программами:

- Самая нашумевшая и универсальная программа это L0phtcrack. исследовательской но для нас Хакеров помогающих Крякеростроению - это ничто. Во время написания статьи была выпущена бета-версия 5 утилиты Lophtcrack.
LOphtcrack может импортировать данные SAM из нескольких источников:
- из самого файла SAM
- из его резервной копии SAM._, с удаленного компьютера (используя привилегии администратора и встроенную функцию, работающую по принципу утилиты pwdump)
- непосредственно из потока данных, передаваемых по сети.
Текущее состояние процесса подбора пароля можно в любой момент сохранить в файле вида *.1с. Поэтому работа утилиты LOphtcrack может быть безболезненно прекращена, а затем возобновлена с того же места.
Утилита LOphtcrack с графическим пользовательским интерфейсом является лучшим средством взлома файла паролей системы NT из всех имеющихся на рынке как по скорости работы, так и по простоте использования. Однако имеется и один недостаток: наличие графического интерфейса не позволяет использовать эту утилиту в сценариях и командных файлах. Для применения в командной строке можно найти лишь устаревшую версию 1.5 (lc_cli.exe). которая распространяется вместе с исходным кодом. Так что, если говорить об утилитах взлома паролей, использующих интерфейс командной строки, лучше обратить внимание на продукты других разработчиков.

- Не менее нашумевшей является прога John the Rippper - это программа взлома с использованием словаря. Ранее она использовалась для вскрытия паролей Оси Unix, а теперь на подбирает хеш-коды LanMan Оси Windows NT. Эта програмулинка умеет быстро работать и распространяется совершенно халявно. Так как прога ломает лишь LanMan пароли то результаты приходится проверять на прописные и строчные буквы. Ее минус лишь в том что она управляется не кульным интерфейсом а строчными командами, что гораздо неприятней на фоне L0phtcrack.

- Утилитка Crack (автор Алекс Маффет) как и John the Rippper, вначале юзалась для Unix, а теперь ее можно использовать и для Windows NT. Это очень полезная прога умеющая перебирать много вариаций пароля из них более 200 на тему имени пользователя. Ее минус в том что работает только в среде Unix.

- Программка Advanced NT Security Explorer (в простонародии ANTExp) чем то напоминает обрезанную версию L0phtcrack. Программка осуществляет подбор как методом словарной атаки так и "грубой силой". В возможности входит установка набора символов для подбора + верхнюю и нижнюю границу пароля.

P.S. Пока жива технология NT будут появляться новые способы ее взлома и именно так долго будет дополняться эта статья. БЕРГИСЬ БИЛЛ...8-)