Nagits's Blog

programming, fizfak science, etc…

userLevel2system и узнаем пароль администраторской учетной записи

2 комментария

Повышаем привилегии до системных с помощью сплоита KiTrap0d, а также вытягиваем пароль админа с помощью PWdump и L0phtCrack.

Итак, изложу суть дела. Представим очень знакомую ситуацию (для студентов и секретарш ): администраторская учетная запись заблокирована от кривых рук паролем, а мы находимся в обычной (гостевой) учетной записи. Не зная пароля или не имея прав администратора, мы не можем шариться на рабочем столе админа (типа «C:\Users\admin» — Отказано в доступе), не можем изменять папки Program Files и Windows … — а нам очень нужно! Что делать?

1. KiTrap0D forever! — повышаем привилегии аж до System

В начале 2010 года хакером T. Ormandy была опубликована 0-day уязвимость , позволяющая повысить привилегии в любой версии Windows. Этот сплоит получил название KiTrap0d и в нынешних базах антивирусов занесен в раздел типа Win32.HackTool («хакерский инструмент» ).

Описание уязвимости из первых уст вы можете почитать по адресу: http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Итак, отключаем антивирус (ну, вы же мне доверяете! ). Далее скачивам сплоит из моих документов по адресу https://www.box.net/shared/1hjy8x6ry3 (пароль nagits — чтобы антивирус не ругался) или поищите на сайте http://exploit-db.com по имени Tavis Ormandy. Скомпилированный сплоит состоит из 2 файлов: библиотека vdmexploit.dll и исполняемый vdmallowed.exe. По щелчку на exe-шнике запускается сплоит и открывается командная строка cmd.exe с системными привилегиями NT AUTHORITY\SYSTEM!

А теперь, как говорится, флаг вам в руки! Обладая такими правами, можно скопировать нужные вам файлы, узнать ценную информацию…

2. Узнаем пароль администраторской учетной записи

…, но все таки будет гораздо полезнее узнать пароль админа.

Пароли учетных записей в Windows хранятся в виде хешей в специальных ветвях реестра HKLM\SAM и HKLM\SECURITY и доступ к ним закрыт даже администраторам. Соответствующие файлы базы данных Security Account Manager находятся в папке %SystemRoot%\system32\config в файлах SAM и SYSTEM, но скопировать их просто так также не получится, впрочем, об этом чуть позже. Поэтому так важно, что мы получаем именно системные права.

Я расскажу о двух подходах получения заведомого пароля. Один касается, как вы наверное поняли, реестра —  дамп паролей. Второй подход, как советует капитан очевидность, заключается в получении файла SAM.

2. Способ 1. Дампим пароли

Пользоваться будем достаточно известной утилитой pwdump, которую вы можете скачать из Моих документов по адресу https://www.box.net/shared/9k7ab4un69 (пароль nagits). Переключаемся в командную строку cmd.exe с системными правами и запускаем pwdump.

По команде

 C:\pwdump.exe localhost > C:\pass_dump.txt 

утилита сбросит дамп паролей в файл.

Например, pass_dump.txt может выглядеть так:

No history available
Uzver:1001:NO PASSWORD*********************:NO PASSWORD*********************:::
VirtualNagits:1000:NO PASSWORD*********************:32ED87BDB5FDC5E9CBA88547376818D4:::
Completed.

Видно, что Uzver — обычный пользователь, не защищен паролем, а VirtualNagits — администратор, и приведен хеш его пароля.

Далее, остается воспользоваться брутфорсером для расшифровки дампа.

Я для примера буду пользоваться программой l0phtcrack. Скачать шароварную можете по адресу www.l0phtcrack.com/.

Начиная с Windows NT 3.1 (27 июля 1993) пароли хранятся в т.н. NTLM-хеше. К сожалению, программа l0phtcrack согласится атаковать NTLM-хеши только после регистрации\покупки программного продукта. Кстати установку необходимо запускать с правами администратора — как минимум. Поэтому установочный файл запускаем из под  cmd.exe с правами System.

Итак, у меня есть установленная и зарегистрированная l0phtcrack v5.04 и pass_dump.txt:

В программе l0phtcrack давим на кнопку Import:

Выбираем импорт из файла PWDUMP (From PWDUMP file), указываем наш pass_dump.txt.

Теперь необходимо в опциях отметить взлом NTLM паролей:

Подтверждаем выбор нажатием OK и нажимаем Begin Audit .

Есть! Хитроумный пароль «123456» администратора получен!

Вместо pwdump и l0phtcrack рекомендую также воспользоваться freeware программой Cain&Abel. Этим замечательным инструментом я похвастаюсь в другой статье).

2. Способ 2. Получаем пароли из файла SAM.

Вообще, скопировать файл SAM из С:\windows\system32\config\  нельзя даже под правами SYSTEM, поскольку они «заняты другим приложением». Диспетчер задач не поможет, поскольку если вы даже и найдете виновный,  отвечающий за Security Account Manager процесс, завершить вы его не в силах, поскольку он системный. В основном все их копируют с помощью загрузочного диска, в таком случае нам даже и не нужны права администратора. Но зачастую в руках нет LiveCD…

Дак вот, считать эти файлы можно с помощью низкоуровнего доступа к диску.

Это очень хорошо описано на сайте http://wasm.ru/article.php?article=lockfileswork под заголовком (Чтение файла с помощью прямого доступа к диску).

Вот ссылка на скомпилированную программу: http://wasm.ru/pub/21/files/lockfileswork/RawRead.rar (Пример чтения SAM с помошью прямого доступа к тому).

С помощью команды (из cmd.exe с системными правами, не забыли еще KiTrap0D?):

 D:\RawRead.exe D:\TMP\SAM

программа копирует файл SAM из системной директории \config\SAM в файл, указанный в параметре, т.е. D:\TMP\SAM

Брутфорсер l0phtcrack поддерживает импорт SAM-файлов, но программа яросно предупреждает о шифровании SYSKEY:

L0phtcrack не обладает возможностью взлома расширенного SYSKEY-шифрования базы данных SAM. Поэтому, если на взламываемой системе используется SYSKEY-шифрование (помойму оно используется, начиная с Service Pack 3 for NT 4.0, в 2000/XP — по умолчанию), необходимо дополнительно расшифровывать SAM файл, либо пользоваться способом 1.

О расшифровке SAM файла я вам предлагаю почитать самостоятельно на сайте xakep.ru: Как нам реорганизовать Syskey

Advertisements

Written by nagits

Апрель 7, 2010 в 20:27

Опубликовано в Программирование, Софт

комментария 2

Subscribe to comments with RSS.

  1. Для всех граждан РФ.

    fara74

    Июль 22, 2011 at 07:06

  2. thank you

    Andrey

    Июль 6, 2011 at 18:22


Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: