[HaBo]

Magnumson · 08.11.06, 13:09

Hey Leutz
Hab mir ne SAM mittels NTFS-Startdisk aus dem .config Ordner auf die Diskette kopiert.
Die Frage ist nun, wie kann ich diese mit Pwdump2/3 nun auslesen, da das Programm die SAM standartmässig versucht aus dem .config Ordner zu lesen.
Dies ist aber aufgrund von administrativen Einschränkungen nicht möglich.
Gibt es keine Möglichkeit mit dem Prog. einfach die kopierte SAM zu lesen?

Weiterhin hab ich die SAM auf einen Rechner mit ROOT-Zugang kopiert und mit Lophtcrack ausgelesen. Das Ergebnis:

LastBruteIteration=0
CharacterSet=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ
ElapsedTime=0 0
Administrateur:"":"":827D33C181CAFED1A1720D2664FC1 896:24E161B57AF1AB48A8576AADCD97E795
Invité:"":"":BBC9D3592006CA0E41D01AF0FD53A90F:0000 0000000000000000000000000000
SUPPORT_388945a0:"":"":325229177C7F01D767C4A910CF2 E2030:CE443ED6AA4BC15D57DFA71D8A0FA3B0
SUPPORT_b326ad0c:"":"":5553813FEE79D93B8DC5376852E 87E41:74C01598C73B63AB8A5F5AB3804CFCEA
HelpAssistant:"":"":212169C228D31294AE55BBD4615770 1C:32DA762420F7FCBB0982DEEFB64FA327
PLAN:"":"":11217074A452C565953CF5736B08542A:45D185 C7E6D6E7509FA0A037A6C995B9
Classe:"":"":3322CA0E68A01AFAEDB6F4AFE1C3C1C2:0000 0000000000000000000000000000

lese ich allerdings eine andere SAM auf einem adneren Rechner MIT ROOT-Zugang via PWDUMP aus, erhalte ich folgende Hashfile:

Administrateur:500:0beb54aefe325e513b2103510d7e8ab b:52114bbd3998b1ecadd209b639cc90fa:::
AHOUANSOU:1011:a4e06c22222610888915c611551a63d8:42 b880301ed5142aeacd4ac1f0c2c714:::
Invité:501:aad3b435b51404eeaad3F245b51404ee:31d6cf e0d16ae931b73c59d7e0c089c0:::
IUSR_SCM:1014:903337298db215bab0ddf0185a6481dd:dd5 3c371c3d5395891b493d7f6dddf78:::
IWAM_SCM:1013:e1329dd57a037aadbd77256cf2dabc01:641 4bd3e3db89941622429789ad3edcd:::
JOCEGNAS:1012:cf23134a74cd1188aad3b435b51404ee:782 dc04fa7867be4253878abe5fcb8ee:::
PU SOTOUBOUA:1008:6232b09f6f28187cf6d05b1d891465e2:db e925851eef653a83086f42c63f8dc1:::

Diese unterscheidet sich nun vergleichsweise im Aufbau zu der ersten mit Lophtcrack erstellten Hashfile.

--> Problem: Während die erste Hashfile mit Jack the ripper problemlos entschlüsselt werden konnte, konnte die 2. Hasfile noch nicht einmal mit einem Eintrag des zu suchenden Passwortes ("Plan") für Account (Plan) in Jacks Password.lst entschlüsselt werden, obwohl das Programm diese Liste (Jack-386 --wordlist=password.lst --rules passwd.txt)
durchgehen und das darin befindliche Password finden müsste.

JTR erkennt den Hash übrigens auch nur, wenn ich die 2 :"":"": auf :"": reduziere.

Was sagt diese Zahl zwischen den Doppelpunkten aus? Ist das die vermutlich nicht gefundene PID-Nr.?

Bruteforce hab ich mit Lophtcrack nochmal einen Tag durchlaufen lassen - keine Treffer.

Ich denke, wenn ich mit PWDUMP die kopierte SAM auslesen könnte, würde es funktionieren. :rolleyes:

--> Ich habe PWDUMP2 danach ins Verzeichnis der NTFS-Disk kopiert und versucht über diese Bootdisk PWDUMP2.exe auszuführen, um die Original SAM aus dem Config Ordner auslesen zu können und um die Admineinschränkung zu übergehen.

Bei PWDUMP2 erscheint beim erstellen der NTHashFile.Txt die Fehlermeldung: Ausführen des Programmes ist im MOS-DOS Mode nicht möglich und

bei PWDUMP3 erscheint sie zwar nicht, dafür erstellt er aber trotzdem nicht die gewünschte .txt X(

ARGH - Latein am Ende - Wer kann helfen ?

Mag

EDIT: Hab die Hashes natürlich ein wenig manipuliert, wer möchte schon seine Passwörter im Netz sehen :D

12.02.07, 20:40

Warum kompliziert wenn es einfach geht??? Nimm doch eine Live-CD (z.B. ophcrack)
Bei mir hats innerhalb von minuten funktioniert

Anzeige

- Anzeige -

/\5P/\5|/\ · 18.02.07, 23:57

Und vor allem wird das sowieso wahrscheinlich nichts mit dem cracken. Wenn du die sam mit ntfs-dos kopierst, ist die soweit ich weiß noch zusätzlich verschlüsselt.
Sowas geht halt nur, wenn du Admin-Rechte hast und eine DLL-Injektion mit zB pwdump2 machst. Ich würde auch den Gebrauch einer Live-CD empfehlen. Ich habe ne Win-XP live CD mit PE-Builder erstellt.
Und vor allem: pwdump ist auf windows zugeschnitten. Man kann es garantiert nicht mit NTFS-Dos oder ähnliches benutzen

Anzeige

- Anzeige -

08.11.06, 13:09	#1 (permalink)
Magnumson Registriert seit: 08.11.06 Likes: 0	Pwdump / Jack the Ripper Problem Anzeige Hey Leutz Hab mir ne SAM mittels NTFS-Startdisk aus dem .config Ordner auf die Diskette kopiert. Die Frage ist nun, wie kann ich diese mit Pwdump2/3 nun auslesen, da das Programm die SAM standartmässig versucht aus dem .config Ordner zu lesen. Dies ist aber aufgrund von administrativen Einschränkungen nicht möglich. Gibt es keine Möglichkeit mit dem Prog. einfach die kopierte SAM zu lesen? Weiterhin hab ich die SAM auf einen Rechner mit ROOT-Zugang kopiert und mit Lophtcrack ausgelesen. Das Ergebnis: LastBruteIteration=0 CharacterSet=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ ElapsedTime=0 0 Administrateur:"":"":827D33C181CAFED1A1720D2664FC1 896:24E161B57AF1AB48A8576AADCD97E795 Invité:"":"":BBC9D3592006CA0E41D01AF0FD53A90F:0000 0000000000000000000000000000 SUPPORT_388945a0:"":"":325229177C7F01D767C4A910CF2 E2030:CE443ED6AA4BC15D57DFA71D8A0FA3B0 SUPPORT_b326ad0c:"":"":5553813FEE79D93B8DC5376852E 87E41:74C01598C73B63AB8A5F5AB3804CFCEA HelpAssistant:"":"":212169C228D31294AE55BBD4615770 1C:32DA762420F7FCBB0982DEEFB64FA327 PLAN:"":"":11217074A452C565953CF5736B08542A:45D185 C7E6D6E7509FA0A037A6C995B9 Classe:"":"":3322CA0E68A01AFAEDB6F4AFE1C3C1C2:0000 0000000000000000000000000000 lese ich allerdings eine andere SAM auf einem adneren Rechner MIT ROOT-Zugang via PWDUMP aus, erhalte ich folgende Hashfile: Administrateur:500:0beb54aefe325e513b2103510d7e8ab b:52114bbd3998b1ecadd209b639cc90fa::: AHOUANSOU:1011:a4e06c22222610888915c611551a63d8:42 b880301ed5142aeacd4ac1f0c2c714::: Invité:501:aad3b435b51404eeaad3F245b51404ee:31d6cf e0d16ae931b73c59d7e0c089c0::: IUSR_SCM:1014:903337298db215bab0ddf0185a6481dd:dd5 3c371c3d5395891b493d7f6dddf78::: IWAM_SCM:1013:e1329dd57a037aadbd77256cf2dabc01:641 4bd3e3db89941622429789ad3edcd::: JOCEGNAS:1012:cf23134a74cd1188aad3b435b51404ee:782 dc04fa7867be4253878abe5fcb8ee::: PU SOTOUBOUA:1008:6232b09f6f28187cf6d05b1d891465e2:db e925851eef653a83086f42c63f8dc1::: Diese unterscheidet sich nun vergleichsweise im Aufbau zu der ersten mit Lophtcrack erstellten Hashfile. --> Problem: Während die erste Hashfile mit Jack the ripper problemlos entschlüsselt werden konnte, konnte die 2. Hasfile noch nicht einmal mit einem Eintrag des zu suchenden Passwortes ("Plan") für Account (Plan) in Jacks Password.lst entschlüsselt werden, obwohl das Programm diese Liste (Jack-386 --wordlist=password.lst --rules passwd.txt) durchgehen und das darin befindliche Password finden müsste. JTR erkennt den Hash übrigens auch nur, wenn ich die 2 :"":"": auf :"": reduziere. Was sagt diese Zahl zwischen den Doppelpunkten aus? Ist das die vermutlich nicht gefundene PID-Nr.? Bruteforce hab ich mit Lophtcrack nochmal einen Tag durchlaufen lassen - keine Treffer. Ich denke, wenn ich mit PWDUMP die kopierte SAM auslesen könnte, würde es funktionieren. :rolleyes: --> Ich habe PWDUMP2 danach ins Verzeichnis der NTFS-Disk kopiert und versucht über diese Bootdisk PWDUMP2.exe auszuführen, um die Original SAM aus dem Config Ordner auslesen zu können und um die Admineinschränkung zu übergehen. Bei PWDUMP2 erscheint beim erstellen der NTHashFile.Txt die Fehlermeldung: Ausführen des Programmes ist im MOS-DOS Mode nicht möglich und bei PWDUMP3 erscheint sie zwar nicht, dafür erstellt er aber trotzdem nicht die gewünschte .txt X( ARGH - Latein am Ende - Wer kann helfen ? Mag EDIT: Hab die Hashes natürlich ein wenig manipuliert, wer möchte schon seine Passwörter im Netz sehen :D

18.02.07, 23:57	#3 (permalink)
/\5P/\5\|/\ Registriert seit: 03.02.07 $/\5P/\5\|/\ Leistung: Facit NTK$ Likes: 0	Und vor allem wird das sowieso wahrscheinlich nichts mit dem cracken. Wenn du die sam mit ntfs-dos kopierst, ist die soweit ich weiß noch zusätzlich verschlüsselt. Sowas geht halt nur, wenn du Admin-Rechte hast und eine DLL-Injektion mit zB pwdump2 machst. Ich würde auch den Gebrauch einer Live-CD empfehlen. Ich habe ne Win-XP live CD mit PE-Builder erstellt. Und vor allem: pwdump ist auf windows zugeschnitten. Man kann es garantiert nicht mit NTFS-Dos oder ähnliches benutzen
$/\5P/\5\|/\ ist offline$

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Prob mit JtR & Pwdump	nonstop	Virenschutz · Tools & Aggressive Software	9	21.12.05 09:59
Problem mit John the Ripper...	TeeKayo2	Virenschutz · Tools & Aggressive Software	10	02.11.05 12:49
John the Ripper Problem	FLiP	Virenschutz · Tools & Aggressive Software	2	13.07.05 17:25
pwdump (Dos)	DKing	Cryptography & Encryption	0	12.03.04 18:02

12.02.07, 20:40	#2 (permalink)
gelöscht Guest Likes:	Warum kompliziert wenn es einfach geht??? Nimm doch eine Live-CD (z.B. ophcrack) Bei mir hats innerhalb von minuten funktioniert

[HaBo]

Pwdump / Jack the Ripper Problem