Lokale Win2k/NT/Xp Passwörter Cracken
Hier geht es darum, wie man die Passwörter von Windows 2k/NT/Xp
Rechnern knacken kann, wenn man physikalischen Zugriff auf sie hat (d.h.
direkt vor ihnen sitzt). Teilweise geht es auch, wenn ihr eine
Commandshell auf dem betreffenden Rechner habt. Das ganze hat zB.
Nutzen, wenn ihr die Passwörter von Schule, INet-Café/Terminal oder was
auch immer haben wollt. Es gibt diverse Möglichkeiten und die
bekanntesten werde ich jetzt mal vorstellen =D
Für die unter euch, die sich auch für die Hintergründe des ganzen
interessieren, gibt es eine nettes Paper bei heisec.de über die
Verschlüsselung der Passwörter und Authentifizierung bei den oben
genannten Windows Versionen.
Wir holen uns die SAM =D
SAM steht für 'Security Account Manager'. In dieser Datei befinden sich
die lokalen Passwörter von allen Windows Benutzern. Zu finden ist die
Datei normalerweise unter '%windir%\system32\config'. Jetzt nur noch
mit dem Editor öffnen und schon habt ihr alle PWD's =D Wenn's nur so
einfach wäre =P
Versucht mal die Datei zu kopieren? geht nicht, das verhindert unser
geliebtes Windows =D Weiterhin ist die Datei verschlüsselt. Also, ermal
die Datei auf Diskette (oder USB-Stick =D) 'locken' und dann cracken.
Der repair-Ordner
Als erstes gucken wir in '%windir%\repair' nach, ob wir die Datei dort
finden. Aber falls der Admin auch nur etwas schlau ist, sollte das nicht der
Fall sein.
Es gibt ebenfalls einen Befehl, der ein Backup der SAM-Datei im reapair-
Ordner erstellt, der mit gerade aber nicht mehr einfällt =D
NTFS4DOS
So leicht geben wir nicht auf =D Also, erst mal eine Bootdisk erstellen. Am
besten von Win98 -
http://download.winboard.org/downloads.php?ordner_id=56. Jetzt noch
NTFSDOS auf eine Diskette packen
http://www.sysinternals.com/ntw2k/freeware/ntfsdos.shtml und dann
geht's weiter. Ihr müsst die Bootdisk reinstecken und dann den PC
neustarten. Falls nicht eingestellt, müsst ihr die Floppy an erste Stelle der
Boot-Reihenfolge stellen, damit nicht wieder unser Windows von der Platte
hochfährt. Sollte das BIOS Passwortgeschützt sein, gibt es auch Abhilfe,
aber nehmen wir einfach mal an, es wäre nicht so und ihr bootet jetzt von
eurer Diskette =D
So, PC fertig? A:\>_ *blink* *blink* =D
Das nennt man dann Eingabeaufforderung. Der puristische Microsoft-Spaß
=D Aber ihr habt ja alle fleißig eure DOS-Befehle gelernt und es sollte kein
Problem für euch sein, euch zurecht zufinden.
Startet jetzt NTFSDOS und die NTFS-Platten (welche unter DOS normal
nicht erkannt werden), werden gemountet. Jetzt noch auf die Windows-
Platte in das Verzeichnis ? was wohl =D ? '%windir%\system32\config'
wechseln und die SAM auf die Diskette kopieren. Fertig =D
Sollte die Windows-Platte nicht NTFS formatiert sein (sondern FAT32),
dann könnt ihr euch den Spaß mit NTFSDOS sparen, da sie auch so
erkannt wird.
PWDUMP
PWDUMP (-> google.de) ist ein nettes Tool, das die Passwort-Hashes aus
der Registry lesen kann. Also immer noch verschlüsselt, aber genau so
brauchbar wie die SAM-Datei. Der einzige Haken, man braucht
Administrator-Rechte. Die kann man aber zB. mit dem LSASS-Exploit
bekommen, wenn man seinen eigenen Rechner angreift oder es mit GetAD
versuchen -
http://imm.uinc.ru/getad/ - einfach starten und hoffen, das
man einen Administrator-Shell bekommt =D. Mittlerweile gibt es schon
PWDUMP3v2, aber ich beziehe mich mal auf PWDUMP2, da ich die Version
eigentlich noch immer benutze =D
Also, über die Konsole in den PWDUMP-Ordner wechseln und starten. Jetzt
seht ihr die Hashes auf eurem Bildschirm. Da ihr das ganze aber nicht
abschrieben wollt, leiten wir die Ausgabe einfach in eine .txt-Datei um
'pwdump2 > hashes.txt'. Fertig =D
Syskey ? Der Bonus-Schlüssel
So, es ist aber noch nicht vorbei =D Microsoft hat sich Syskey einfallen
lassen. Eine zusätzliche Verschlüsselung, die uns das PWD-Cracken
unmöglich machen soll =P Die Syskey-Sache muss euch nur interessieren,
wenn ihr die SAM-Datei und nicht die PWDUMP-Hashes habt. Also, erst
mal Start -> Ausführen -> 'syskey' eintippen und gucken ob Syskey
aktiviert ist.
Das Bild zeigt aktiviertes Syskey, da die Option 'Verschlüsselung
deaktivieren' nicht zur Auswahl steht und wir wissen, das man Syskey
nicht ausschalten kann, wenn es einmal aktiviert wurde. Aber was machen
wir jetzt? Ist Syskey deaktiviert, reicht die SAM-Datei. Ist Syskey
aktiviert, müssen wir uns noch die 'system' Datei aus dem gleichen Ordner
holen, in dem auch die SAM war. Aber die Datei kann man auch nicht
einfach so kopieren *grrr* =D Entweder man guckt noch mal im repair-
Ordner nach, oder man holt sich die Datei mit NTFSDOS und einer
Bootdiskette.
SamInside
Habt ihr SAM+SYSTEM, dann machen wir erst mal mit SamInside weiter.
Wenn ihr die PWDUMP-Hashes habt oder Syskey deaktiviert war, könnt ihr
gleich mit LC5 weitermachen. Mit Hilfe von SamInside fügen wir beide
Dateien zusammen und können sie dann mit LC5 cracken (LC5 ist
schneller als SamInside). Also, fangen wir an und starten SamInside.
Jetzt Strg+O drücken und die SAM+SYSTEM öffnen. Dann Strg+S drücken
und wir können unsere zusammengemischte PWDUMP-Datei speichern.
LC5
Also, LC5 starten und erst mal den Wizard beenden. Erst mit File -> New
Session? eine neue Session =D erstellen und dann auf Session ->
Import? klicken um unsere SAM/PWDUMP File einzulesen. Jetzt auf
Session -> Session Options? klicken und wir können uns die Einstellungen
angucken, mit denen wir das Passwort cracken wollen.
Also ein großes Dictionary würde ich schon empfehlen, die Hybrid Attacke
dazu, damit kann man nie was falsch machen =D Jetzt noch Brute Force
('German' + 'alphabet + numbers') und wir können auf 'Play' klicken und
der Spaß kann beginnen =D Je nachdem, wie stark das Passwort ist, kann
das Cracken schon mal ein paar Tage dauern. Bei Passwörtern ab 9
Zeichen dauert das Entschlüsseln fast unerträglich lange?
Aber das tolle an LC5 ist die Möglichkeit der Precomputed Hashes. Solltet
ihr euren PC mal längere Zeit nicht brauchen (1Tag +), dann könnt ihr
euch eine Hash-Tabelle generieren lassen, die das PWD cracken erheblich
beschleunigt =D
Also dann, viel Erfolg und 'Happy Cracking' =D
![[HaBo]](/styles/default/logoklein.png){kind=small}
)