![[HaBo]](/styles/default/logoklein.png){kind=small}
Hey Leutz
Hab mir ne SAM mittels NTFS-Startdisk aus dem .config Ordner auf die Diskette kopiert.
Die Frage ist nun, wie kann ich diese mit Pwdump2/3 nun auslesen, da das Programm die SAM standartmässig versucht aus dem .config Ordner zu lesen.
Dies ist aber aufgrund von administrativen Einschränkungen nicht möglich.
Gibt es keine Möglichkeit mit dem Prog. einfach die kopierte SAM zu lesen?
Weiterhin hab ich die SAM auf einen Rechner mit ROOT-Zugang kopiert und mit Lophtcrack ausgelesen. Das Ergebnis:
LastBruteIteration=0
CharacterSet=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ
ElapsedTime=0 0
Administrateur:"":"":827D33C181CAFED1A1720D2664FC1896:24E161B57AF1AB48A8576AADCD97E795
Invité:"":"":BBC9D3592006CA0E41D01AF0FD53A90F:00000000000000000000000000000000
SUPPORT_388945a0:"":"":325229177C7F01D767C4A910CF2E2030:CE443ED6AA4BC15D57DFA71D8A0FA3B0
SUPPORT_b326ad0c:"":"":5553813FEE79D93B8DC5376852E87E41:74C01598C73B63AB8A5F5AB3804CFCEA
HelpAssistant:"":"":212169C228D31294AE55BBD46157701C:32DA762420F7FCBB0982DEEFB64FA327
PLAN:"":"":11217074A452C565953CF5736B08542A:45D185C7E6D6E7509FA0A037A6C995B9
Classe:"":"":3322CA0E68A01AFAEDB6F4AFE1C3C1C2:00000000000000000000000000000000
lese ich allerdings eine andere SAM auf einem adneren Rechner MIT ROOT-Zugang via PWDUMP aus, erhalte ich folgende Hashfile:
Administrateur:500:0beb54aefe325e513b2103510d7e8abb:52114bbd3998b1ecadd209b639cc90fa:::
AHOUANSOU:1011:a4e06c22222610888915c611551a63d8:42b880301ed5142aeacd4ac1f0c2c714:::
Invité:501:aad3b435b51404eeaad3F245b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_SCM:1014:903337298db215bab0ddf0185a6481dd:dd53c371c3d5395891b493d7f6dddf78:::
IWAM_SCM:1013:e1329dd57a037aadbd77256cf2dabc01:6414bd3e3db89941622429789ad3edcd:::
JOCEGNAS:1012:cf23134a74cd1188aad3b435b51404ee:782dc04fa7867be4253878abe5fcb8ee:::
PU SOTOUBOUA:1008:6232b09f6f28187cf6d05b1d891465e2:dbe925851eef653a83086f42c63f8dc1:::
Diese unterscheidet sich nun vergleichsweise im Aufbau zu der ersten mit Lophtcrack erstellten Hashfile.
--> Problem: Während die erste Hashfile mit Jack the ripper problemlos entschlüsselt werden konnte, konnte die 2. Hasfile noch nicht einmal mit einem Eintrag des zu suchenden Passwortes ("Plan") für Account (Plan) in Jacks Password.lst entschlüsselt werden, obwohl das Programm diese Liste (Jack-386 --wordlist=password.lst --rules passwd.txt)
durchgehen und das darin befindliche Password finden müsste.
JTR erkennt den Hash übrigens auch nur, wenn ich die 2 :"":"": auf :"": reduziere.
Was sagt diese Zahl zwischen den Doppelpunkten aus? Ist das die vermutlich nicht gefundene PID-Nr.?
Bruteforce hab ich mit Lophtcrack nochmal einen Tag durchlaufen lassen - keine Treffer.
Ich denke, wenn ich mit PWDUMP die kopierte SAM auslesen könnte, würde es funktionieren.
--> Ich habe PWDUMP2 danach ins Verzeichnis der NTFS-Disk kopiert und versucht über diese Bootdisk PWDUMP2.exe auszuführen, um die Original SAM aus dem Config Ordner auslesen zu können und um die Admineinschränkung zu übergehen.
Bei PWDUMP2 erscheint beim erstellen der NTHashFile.Txt die Fehlermeldung: Ausführen des Programmes ist im MOS-DOS Mode nicht möglich und
bei PWDUMP3 erscheint sie zwar nicht, dafür erstellt er aber trotzdem nicht die gewünschte .txt X(
ARGH - Latein am Ende - Wer kann helfen ?
Mag
EDIT: Hab die Hashes natürlich ein wenig manipuliert, wer möchte schon seine Passwörter im Netz sehen
Hab mir ne SAM mittels NTFS-Startdisk aus dem .config Ordner auf die Diskette kopiert.
Die Frage ist nun, wie kann ich diese mit Pwdump2/3 nun auslesen, da das Programm die SAM standartmässig versucht aus dem .config Ordner zu lesen.
Dies ist aber aufgrund von administrativen Einschränkungen nicht möglich.
Gibt es keine Möglichkeit mit dem Prog. einfach die kopierte SAM zu lesen?
Weiterhin hab ich die SAM auf einen Rechner mit ROOT-Zugang kopiert und mit Lophtcrack ausgelesen. Das Ergebnis:
LastBruteIteration=0
CharacterSet=1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ
ElapsedTime=0 0
Administrateur:"":"":827D33C181CAFED1A1720D2664FC1896:24E161B57AF1AB48A8576AADCD97E795
Invité:"":"":BBC9D3592006CA0E41D01AF0FD53A90F:00000000000000000000000000000000
SUPPORT_388945a0:"":"":325229177C7F01D767C4A910CF2E2030:CE443ED6AA4BC15D57DFA71D8A0FA3B0
SUPPORT_b326ad0c:"":"":5553813FEE79D93B8DC5376852E87E41:74C01598C73B63AB8A5F5AB3804CFCEA
HelpAssistant:"":"":212169C228D31294AE55BBD46157701C:32DA762420F7FCBB0982DEEFB64FA327
PLAN:"":"":11217074A452C565953CF5736B08542A:45D185C7E6D6E7509FA0A037A6C995B9
Classe:"":"":3322CA0E68A01AFAEDB6F4AFE1C3C1C2:00000000000000000000000000000000
lese ich allerdings eine andere SAM auf einem adneren Rechner MIT ROOT-Zugang via PWDUMP aus, erhalte ich folgende Hashfile:
Administrateur:500:0beb54aefe325e513b2103510d7e8abb:52114bbd3998b1ecadd209b639cc90fa:::
AHOUANSOU:1011:a4e06c22222610888915c611551a63d8:42b880301ed5142aeacd4ac1f0c2c714:::
Invité:501:aad3b435b51404eeaad3F245b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_SCM:1014:903337298db215bab0ddf0185a6481dd:dd53c371c3d5395891b493d7f6dddf78:::
IWAM_SCM:1013:e1329dd57a037aadbd77256cf2dabc01:6414bd3e3db89941622429789ad3edcd:::
JOCEGNAS:1012:cf23134a74cd1188aad3b435b51404ee:782dc04fa7867be4253878abe5fcb8ee:::
PU SOTOUBOUA:1008:6232b09f6f28187cf6d05b1d891465e2:dbe925851eef653a83086f42c63f8dc1:::
Diese unterscheidet sich nun vergleichsweise im Aufbau zu der ersten mit Lophtcrack erstellten Hashfile.
--> Problem: Während die erste Hashfile mit Jack the ripper problemlos entschlüsselt werden konnte, konnte die 2. Hasfile noch nicht einmal mit einem Eintrag des zu suchenden Passwortes ("Plan") für Account (Plan) in Jacks Password.lst entschlüsselt werden, obwohl das Programm diese Liste (Jack-386 --wordlist=password.lst --rules passwd.txt)
durchgehen und das darin befindliche Password finden müsste.
JTR erkennt den Hash übrigens auch nur, wenn ich die 2 :"":"": auf :"": reduziere.
Was sagt diese Zahl zwischen den Doppelpunkten aus? Ist das die vermutlich nicht gefundene PID-Nr.?
Bruteforce hab ich mit Lophtcrack nochmal einen Tag durchlaufen lassen - keine Treffer.
Ich denke, wenn ich mit PWDUMP die kopierte SAM auslesen könnte, würde es funktionieren.
--> Ich habe PWDUMP2 danach ins Verzeichnis der NTFS-Disk kopiert und versucht über diese Bootdisk PWDUMP2.exe auszuführen, um die Original SAM aus dem Config Ordner auslesen zu können und um die Admineinschränkung zu übergehen.
Bei PWDUMP2 erscheint beim erstellen der NTHashFile.Txt die Fehlermeldung: Ausführen des Programmes ist im MOS-DOS Mode nicht möglich und
bei PWDUMP3 erscheint sie zwar nicht, dafür erstellt er aber trotzdem nicht die gewünschte .txt X(
ARGH - Latein am Ende - Wer kann helfen ?
Mag
EDIT: Hab die Hashes natürlich ein wenig manipuliert, wer möchte schon seine Passwörter im Netz sehen