Hashes aus Cache von WinXP

D

DaXpert

0
Hi!

Ich hab einen altes Windows XP Rechner aus einer Domäne.
Von einem Domainuser brauch ich nun das PW.


Ich hab hier schon mehre Programme: C&A, LC5/6, Ophcrack, nur werden mir immer nur die lokalen Konten angezeigt. Was mach ich denn da falsch?
 
Domänenuser werden gegen die Domäne authentifiziert (und existieren lokal nicht).
Im Cash liegt maximal die Prüfsumme des Passworts.

Aber du kannst auch einfach den lokalen Administrator nehmen und dir das Ding neu herrichten ...
 
lokale kopien von domänenanmeldungen ... existieren nur wenn der client so konfiguriert ist ... in den meisten domänen die ich eingerichtet habe gibts sowas aus sicherheitsgründen nicht
 
Die müsste dann in der SAM liegen, so wie bei lokalen Konten (dann sieht man das Konto auch in der Kontenverwaltung).

Aber auch wenn lokal ein Profilordner (mit Unterordnern) erstellt wird, dann heisst das nicht, dass der User lokal existiert.

Die Passwörter werden schon per Default nicht hinterlegt, es ist also höchst unwahrscheinlich, dass es dort liegt.

Der Plan ist ja, dass du eben nicht an das Passwort herankommst ... was auch illegal wäre, mal ganz btw.
 
Brabax hat gesagt.:
Die müsste dann in der SAM liegen, so wie bei lokalen Konten (dann sieht man das Konto auch in der Kontenverwaltung).

Aber auch wenn lokal ein Profilordner (mit Unterordnern) erstellt wird, dann heisst das nicht, dass der User lokal existiert.

Die Passwörter werden schon per Default nicht hinterlegt, es ist also höchst unwahrscheinlich, dass es dort liegt.

Der Plan ist ja, dass du eben nicht an das Passwort herankommst ... was auch illegal wäre, mal ganz btw.
Zum Vergrößern anklicken....

Der Hash wird abgelegt, nicht das PW. Wenn man kein LAN-Kabel dran hat, kann man sich trotzdem anmelden. Mich interessiert der Hash.
 
MS-CACHE Hashes werden für die x letzten an der Domäne angemeldeten User abgelegt, um im Falle eines Ausfalls des Domänencontrollers sich noch anmelden zu können.
Gespeichert werden diese Hashes als LSA-Secret und lassen sich beispielsweise mit dem Tool "Cain und Abel" auslesen.

Allerdings handelt es sich hier um mit username gesalzene und mit MD4 verkettete NTLM Hashes, womit man rainbowtable-angriffe vergessen kann. Es bleibt nur noch die Option via Bruteforce oder Wordlist.
 
+++ATH0 hat gesagt.:
MS-CACHE Hashes werden für die x letzten an der Domäne angemeldeten User abgelegt, um im Falle eines Ausfalls des Domänencontrollers sich noch anmelden zu können.
Gespeichert werden diese Hashes als LSA-Secret und lassen sich beispielsweise mit dem Tool "Cain und Abel" auslesen.

Allerdings handelt es sich hier um mit username gesalzene und mit MD4 verkettete NTLM Hashes, womit man rainbowtable-angriffe vergessen kann. Es bleibt nur noch die Option via Bruteforce oder Wordlist.
Zum Vergrößern anklicken....

C&A hab ich und zeigt mir Hashes an ohne Usernahmen, ist das normal?
BTW hab ich auch noch ältere W2000-PC, hab ich da bessere Chancen?
 
Ich habe das zwar noch nicht so erlebt, aber es kann gut sein, dass es eine Policy gibt, die die Speicherung des Usernamens unterdrückt, weil diese ja ohnehin im verketteten Hash vorhanden ist.
Probier ansonsten nochma fgdump [1].

[1] fgdump: Take *THAT* LSASS!
 
Diese Tabellen gehen aber von häufig benutzten Usernamen aus. Also werden jeweils für "Administrator" oder "User" generiert. Für beliebige Usernamen? Keine Chance.
 
Ach ja stimmt, im Hash ist der Username.

Dann bringt brute force ja auch nichts, wenn man in dem Programm nicht den Usernamen einstelllen kann. Aber da kam daher, weil dieser PC Vista war, unter XP stehen dann wieder die Namen.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben