Robo y Crackeo del archivo SAM en Win NT/2000/XP

Iniciado por Rojodos, 24 Mayo 2003, 05:13 AM

0 Miembros y 2 Visitantes están viendo este tema.

Rojodos

Hackear los Passwords de Windows NT

------------------------------------------------------------------------

Introducción:
En este texto vamos a tratar las distintas formas de crackear los passwords de Windows NT. Esto nos puede ser muy útil a la hora de hacer una auditoria de seguridad en nuestro sistema, o para seguir confirmando las debilidades del M$ Windows NT ;)

Lo primero que tenemos que hacer es conseguir los passwords hashes (trozos de password cifrados pero en formato texto ASCII) y hay 3 formas de hacerlo, desde un archivo SAM del disco, directamente del registro o mediante el uso de un sniffer.

Obteniendo el archivo SAM
Hay 3 formas en la que podemos extraer un password hash de un archivo SAM en el disco rígido, desde donde el sistema guarda el SAM, del disco de reparación de Windows NT o de una cinta de backup.

Para obtener el archivo SAM del disco rígido lo podemos encontrar en el directorio \\WINNT\SYSTEM32\CONFIG. Por default este archivo se puede leer pero no lo vamos a poder hacer mientras Windows NT se este ejecutando porque en ese momento se encuentra abierto de forma exclusiva por el sistema operativo. Lo que podemos hacer es iniciar la PC con otro sistema operativo y copiarlo directamente, si lo hacemos desde Linux no vamos a tener problemas porque este soporta las particiones NTFS de Windows NT; pero si lo queremos hacer desde Windows 9x, deberemos conseguir un programa como el Ntfsdos que nos permite acceder a la partición NTFS desde una partición FAT como la de Windows 9x; o sea, que haces un disco de inicio y copias el Ntfsdos en el, inicias el sistema con este disco y ejecutas el Ntfsdos que lo que hace es montar la partición NTFS a la FAT y entonces te vas al directorio \\WINNT\SYSTEM32\CONFIG y copias el archivo SAM al disco.

Otra forma de obtener el archivo SAM es mediante el disco de reparación; durante la instalación de Windows NT una copia del archivo de passwords es puesta en el directorio \\WINNT\REPAIR. En este archivo ya que se creo durante la instalación solo vamos a encontrar la cuenta del Administrador y la del Guest y nos va a ser útil solo si el Administrador no cambio la contraseña después de la instalación; pero si el Administrador actualizo sus discos de reparación entonces si vamos a poder encontrar una copia de todos los passwords del sistema. En este directorio vamos a encontrar el
archivo SAM pero comprimido como SAM. para poder crackearlo con el L0phtCrack que es uno de los mejores crackeadores de NT lo hacemos normalmente pero siempre y cuando lo estemos corriendo bajo Windows NT, si en cambio estamos corriendo el L0phtCrack en Windows 95/98 para poder importar el SAM. primero vamos a tener que descomprimirlo utilizando el comando "expand" de Windows NT de la siguiente forma: "expand SAM._ SAM" y luego lo importamos normalmente para poder crackearlo.  

El archivo SAM también queda guardado en las cintas de copia de seguridad cuando se hace un backup del sistema. Si conseguís una cinta de backup, podes restaurar el archivo SAM de \\WINNT\SYSTEM32\CONFIG a otra computadora para después crackearlo.

La herramienta que vamos a utilizar para crackear los SAM va a ser el L0phtCrack, simplemente porque es el mejor crackeador de passwords de Windows NT. Una vez que ya tenemos el SAM tememos que ir al menu "File" y seleccionar la opción "Import SAM File..." que nos va a desplegar un menú para poder seleccionar el archivo, una vez que ya lo importamos vamos a la opción "Tools" y seleccionamos la opción "Run Crack", luego de esto es cuestión de tiempo y por supuesto suerte.

Volcando los passwords desde el registro.
Otro método para obtener los password cifrados de un NT, es volcarlos desde el registro. Para hacer esto vamos a utilizar la opción "Tools Dump Passwords from Registry' de la herramienta L0phtCrack. Si tenemos privilegios de Administrador podemos volcar los passwords cifrados desde una maquina localmente, o sobre la red si es que la máquina remota tiene permisos de acceso al registro a través de la red; solamente especificamos el nombre de la computadora o la dirección IP de esta con el formato común de M$ "\\nombre de la computadora" o "\\direccion IP" dentro del cuadro de dialogo de "Dump Password from Registry" y presionamos OK. Una vez que hicimos todo esto ya tendríamos cargados los passwords cifrados dentro del L0phtCrack; así que ahora solo debemos proceder a crackear.

Una cosa a tener en cuenta es que si tenemos la versión en español del Windows NT la palabra Administrator esta cambiada por Administrador; por lo que el L0phtCrack no nos va a funcionar. Lo que vamos a hacer es editar el registro de Windows NT y decirle al L0phtCrack que busque por Administrador y no por Administrator, para esto vamos a editar el registro de la siguiente forma, usamos el regedit.exe y editamos la siguiente clave: HKEY_CURRENT_USER\Software\L0pht\L0phtCrack\AdminGroupName y cambiamos el valor que viene por Administrador.

Ademés de todo esto, Microsoft incluyo en el Service Pack 3 la utilidad SYSKEY que lo que hace es cifrar los passwords hashes, o sea que si el SP3 esta instalado en el sistema no vamos a poder volcar los passwords del registro; esto por lo menos usando el L0phtCrack, pero todavía podemos usar otra utilidad gratuita escrita por Todd Sabin llamada PWDUMP2, esta utilidad nos permite obtener los passwords hashes cifrados con la utilidad SYSKEY y exportarlos a un archivo de texto para después poder crackearlo con el L0phtCrack. El PWDUMP2 sirve siempre que se use localmente y se tenga privilegios de Administrador, pero entonces para que nos va a servir con propósitos de hacking?, bueno porque puede trabajar con cualquier copia del registro. Y recordemos que hay muchos malos Administradores de un sistema que permiten a los usuarios de dominio conectarse localmente, y que también durante la instalación han realizado un disco de rescate (rdisk.exe) ya que la opción por defecto es "Si", y recordemos que cada vez que se ejecuta rdisk.exe NT hace una copia del registro en %SystemRoot%\Repair (normalmente %SystemRoot% es c:\winnt). Y los permisos por defecto para ese directorio son de "lectura" para todos los usuarios.

Tengamos en cuenta que L0phtCrack esta limitado a volcar y abrir 65K de usuarios. Y si la lista de passwords es larga y tiene mas de 10.000 usuarios pongámonos muy cómodos porque vamos a esperar un rato...

Usando un sniffer.
Otro método que tenemos es capturar los passwords cifrados estando en una red, si tenemos un objetivo especifico deberíamos estar en el mismo segmento de red que la víctima. Este método es muy útil si no tenemos acceso físico ni remoto, o esta instalado el SYSKEY. Para hacer esto vamos a utilizar la opción "Tools SMB Packet Capture" del L0phtCrack, esto nos abrirá una ventana y ya estaríamos capturando todas las sesiones de autentificación SMB. En este texto siempre estamos hablando de la versión 2.5 del L0phtCrack, así que si tenían instalado una versión anterior de esta herramienta hay remover el driver de red NDIS de la solapa "Protocolos" de la configuración de "Red" en el "Panel de Control" (esto es en Windows NT). Todos los logueos que vayamos capturando irán apareciendo en la ventana del SMB Packet Capture, para guardar esto lo podemos hacer con el botón "Save Capture". Para comenzar a crackear los passwords que capturamos primero los tenemos que guardar y luego abrir el archivo que se creo. Si dejamos al L0phtCrack uno o dos días capturando passwords seguramente tendríamos los suficientes como para realizar nuestro objetivo.

Donde conseguir los programas que necesitamos?
Aquí se muestra donde conseguir y una breve reseña de todos los programas que se mencionan durante el desarrollo del articulo; también los podes bajar de la web de Ezkracho: http://www.ezkracho.piratas.org/ pero igualmente se va a poner la fuente original de estos.

Ntfsdos.
El Ntfsdos lo podemos encontrar en http://www.systernals.com/ntfs20r.zip y como ya se explico nos sirve para acceder a una partición NTFS desde una partición FAT, no hace falta decir cual es la gran ventaja de esto.

L0phtCrack.
El L0phtCrack lo podemos encontrar en http://www.l0pht.com/l0phtcrack/ la última versión que podemos encontrar hasta el momento es la 2.5 que se puede usar durante un periodo de prueba por 15 días, luego vamos a necesitar registrarlo para continuar con su uso. El método mas rápido para crackear un password es mediante una ataque de diccionario, podemos usar el diccionario que viene con el L0phtCrack que es chico pero muy efectivo o también buscar en la red un diccionario mucho mas grande que seguro hay muchos dando vuelta. Otro método que utiliza L0phtCrack es el llamado "híbrido" que lo que hace es a las palabras que encuentra en el diccionario agregarles letras o símbolos, por ejemplo hay gente que pone su nombre con símbolos al final o intermedio, Juan$$Perez o JuanPerez!!. El tercer y último método que utiliza el L0phtCrack es el de Fuerza Bruta que ya todos saben como funciona, este es el método mas seguro y descifra la clave sin ninguna duda, solo es cuestión de tiempo...

PWDUMP2.
El PWDUMP2 es un programa gratuito escrito por Todd Sabin y lo podemos encontrar en http://www.webspan.net/~tas/pwdump2/. Para una mayor descripción de como conseguir los passwords hashes para usarlos con esta utilidad ver en la pagina web de esta utilidad. Cabe acotar que el uso de PWDUMP2 en conjunto con L0phtCrack es una excelente arma, para realizar auditorias por supuesto...


Autor: Desconocido (Si alguien sabe el autor, que lo comunique por favor)

Este articulillo no es mio, puede que tenga errores tecnicos o este desfasado. En ese caso, agradeceria cualquier comentario, aclaracion o correccion del mismo.

:)

mister_of_dark

En mi opinion muy persona este documeto es mera ****** ya que si tuvieramos acceso fisico al server lo primero seria instalar una backdor eso es sin tener en cuenta que para llevar a cavo los ejemplos del documento hay que resetear el server lo cual se nos hace mucho mas dificil todavia, y una cosa que no queda clara para que el L0phtCrack sniffe la red tien que estar instalado directamnte en el server lo cual nos hace care de nuevo en necesitar acceso de administrador o tener acceso fisico.

Yo personalmente lo que haria seria intalar una backdor algun exploit que me garantice el acceso de r00t constante mente.

No hay actos malos o buenos solo hay erroneos puntos de vista

No hay palabra mal dicha sino mal interpretada

Zakt

Me parece que el l0pthcrack sirve solo contra los sistemas NT (y no para XP y 2000), al menos la version que yo tenia.

Kriptosys

No el LC4 (l0pthcrack) a mi me va de maravilla en 2000.
CitarF I H - http://www.fihezine.tsx.to 15/11/03 Libertad de expresión, Libertad de Conocimiento

Zakt

OK, igual el problea es mio. A mi me salia un mensaje de error que ponia "Is not a NT system" o algo asi.

Rojodos

Mister of dark, no vayas de elite.

Citarinstalar una backdor
--> backdoor

Ademas de que instalar un troyano es algo muy relativo, pues tarde o temprano el administrador pasa un antivirus, checkea puertos abiertos, etc etc... Lo mejor es tener la clave del admin, por eso la importancia de pillar el SAM

Citaracceso de r00t constante mente.
--> Chaval, en los NT/2000/XP no existe el root, solo en los Unix / Linux / BSD

No confundas

Anthony Williams

Cita de: Zakt en 25 Mayo 2003, 04:11 AM
Me parece que el l0pthcrack sirve solo contra los sistemas NT (y no para XP y 2000), al menos la version que yo tenia.


mmmm mano no es por nada pero estas hablando sin saber por que tengo XP y me funciona,
Para todos los que tengan XP bajenlo que si funciona osea no se echen para atras



Saludos a todos 8) 8)

Zakt

Rectifico, he reinstalado el LC4 y me funciona a la perfección.

mister_of_dark

Rodojo ya se que en Nt es administrador y si tenes versión en Ingles es administrator pro ya explique aqui las incomodidades que tiene conseguir el sam ademas si el administrador es suficientemente estupido como para dejarte tener acceso fisico fo no creo que el valla a descubrir muy facilmente un troyano o backdor ademas si te dejara instalar un sniffer que tiene que estar instalado en el server el administrador es lo suficientemente estupido asi que ni te preocupes por que el detecte un TROYANO o BACKDOR
No hay actos malos o buenos solo hay erroneos puntos de vista

No hay palabra mal dicha sino mal interpretada

Rojodos

Insisto, no es "backdor", es BACKDOOR  --> Con dos OOs

Y otra cosa, un administrador no tiene por que ser estupido dejandote acceso fisico a un makina.

Piensa en un cyber o en una oficina....