[HaBo]

DaXpert

Anzeige

Hi!

Ich hab einen altes Windows XP Rechner aus einer Domäne.
Von einem Domainuser brauch ich nun das PW.


Ich hab hier schon mehre Programme: C&A, LC5/6, Ophcrack, nur werden mir immer nur die lokalen Konten angezeigt. Was mach ich denn da falsch?

Brabax

Domänenuser werden gegen die Domäne authentifiziert (und existieren lokal nicht).
Im Cash liegt maximal die Prüfsumme des Passworts.

Aber du kannst auch einfach den lokalen Administrator nehmen und dir das Ding neu herrichten ...

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

DaXpert

Natürlich existieren sie, sie haben ja sogar einen Userordner.

Ist nur die Frage, was der Client speichert. Sicher auch eine Art Hash.

Distracted: Cacheebr, the MS Cache password brute forcer

Guck ich mir mal an...

GrafZahl

lokale kopien von domänenanmeldungen ... existieren nur wenn der client so konfiguriert ist ... in den meisten domänen die ich eingerichtet habe gibts sowas aus sicherheitsgründen nicht

__________________

Code:

:(){ :|:& };:

Veritas Aequitas

DaXpert

Ja du hast den Pc nicht eingerichtet. Wenn diese lokalen Kopien da sind, wie gehe ich dann vor? Wie bekomme ich den Hash?

Brabax

Die müsste dann in der SAM liegen, so wie bei lokalen Konten (dann sieht man das Konto auch in der Kontenverwaltung).

Aber auch wenn lokal ein Profilordner (mit Unterordnern) erstellt wird, dann heisst das nicht, dass der User lokal existiert.

Die Passwörter werden schon per Default nicht hinterlegt, es ist also höchst unwahrscheinlich, dass es dort liegt.

Der Plan ist ja, dass du eben nicht an das Passwort herankommst ... was auch illegal wäre, mal ganz btw.

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

DaXpert

Der Hash wird abgelegt, nicht das PW. Wenn man kein LAN-Kabel dran hat, kann man sich trotzdem anmelden. Mich interessiert der Hash.

+++ATH0

MS-CACHE Hashes werden für die x letzten an der Domäne angemeldeten User abgelegt, um im Falle eines Ausfalls des Domänencontrollers sich noch anmelden zu können.
Gespeichert werden diese Hashes als LSA-Secret und lassen sich beispielsweise mit dem Tool "Cain und Abel" auslesen.

Allerdings handelt es sich hier um mit username gesalzene und mit MD4 verkettete NTLM Hashes, womit man rainbowtable-angriffe vergessen kann. Es bleibt nur noch die Option via Bruteforce oder Wordlist.

DaXpert

C&A hab ich und zeigt mir Hashes an ohne Usernahmen, ist das normal?
BTW hab ich auch noch ältere W2000-PC, hab ich da bessere Chancen?

+++ATH0

Ich habe das zwar noch nicht so erlebt, aber es kann gut sein, dass es eine Policy gibt, die die Speicherung des Usernamens unterdrückt, weil diese ja ohnehin im verketteten Hash vorhanden ist.
Probier ansonsten nochma fgdump [1].

[1] fgdump: Take *THAT* LSASS!

DaXpert

Es gab wohl mal RT für MScache im Netz:
GPU Brutforcer für mscache - MD5 cracken at hashkiller.com

+++ATH0

Diese Tabellen gehen aber von häufig benutzten Usernamen aus. Also werden jeweils für "Administrator" oder "User" generiert. Für beliebige Usernamen? Keine Chance.

DaXpert

Ach ja stimmt, im Hash ist der Username.

Dann bringt brute force ja auch nichts, wenn man in dem Programm nicht den Usernamen einstelllen kann. Aber da kam daher, weil dieser PC Vista war, unter XP stehen dann wieder die Namen.