Heslo - doménový účet Microsoft Windows XP

IDS, detekce útoků, analýza a vyhodnocení systémových událostí a logů v lokálních bezdrátových a metalických sítích
Odpovědět
oversx
Level 1
Příspěvky: 37
Registrován: 23 zář 2008, 13:55

14 čer 2009, 08:42

Heslo lokálního administrátora znám, ale nechci do té mašiny nic instalovat. Potřeboval bych spustit něco z CD nebo USB a načíst hash účtu z cache (v SAM není) a offline rozlousknout. Pokud to půjde?
Naposledy upravil(a) oversx dne 15 čer 2009, 11:45, celkem upraveno 1 x.
Standa

Uživatelský avatar
ipeape
Level 0
Příspěvky: 6
Registrován: 09 říj 2008, 22:22

15 čer 2009, 06:04

Doménové účty nejsou uloženy lokálně, ale na doménovém řadiči.

oversx
Level 1
Příspěvky: 37
Registrován: 23 zář 2008, 13:55

15 čer 2009, 07:56

To vím, že jsou. Jenomže po prvním přihlášení je někde heslo uloženo, protože se dá přihlásit i offline, ale určitě tam bude nějaká expirace.
Naposledy upravil(a) oversx dne 15 čer 2009, 11:46, celkem upraveno 1 x.
Standa

Uživatelský avatar
Xfyler
Level 2
Příspěvky: 57
Registrován: 02 črc 2007, 18:52

15 čer 2009, 08:32

Mno to by me taky zajimalo... mozna by to slo cestou keyloggeru... ale problem je jestli keylogger dokaze zaznamenat prihlasovaci udaje, ktery se vyplnujou do login okna. A jeste zkus tohle
http://vimeo.com/3579757

Uživatelský avatar
ipeape
Level 0
Příspěvky: 6
Registrován: 09 říj 2008, 22:22

15 čer 2009, 09:14

oversx píše:To vim, ze jsou. Jenomze po prvnim prihlaseni je nekde heslo ulozeno, protoze se da prihlasit i offline, ale urcite tam bude nejaka expirace.
Funguje to tak, že ti doménový řadič, když se poprvé přihlásíš, vygeneruje SID (Security Identifier) dle ACL (access control list) ve kterých jsou definovány např. členství ve skupinách apod.. a ten je uložen na DC.

Pokud se přihlásíš "offline" tvůj účet si samozřejmě drží vygenerovaný SID z posledního přihlášení tudíž ví např. v jakých skupinách máš členství.Ale nic z něho nedostaneš :-) je to něco jako "odkaz"

oversx
Level 1
Příspěvky: 37
Registrován: 23 zář 2008, 13:55

15 čer 2009, 09:42

Ale někde to heslo oveřuje, jinak se nepřihlásí na účet ani offline.
Naposledy upravil(a) oversx dne 15 čer 2009, 11:47, celkem upraveno 1 x.
Standa

Uživatelský avatar
ipeape
Level 0
Příspěvky: 6
Registrován: 09 říj 2008, 22:22

15 čer 2009, 10:39

oversx píše:Ale nekde to heslo overuje, jinak se neprihlasi na ucet ani offline.
Heslo nikde neověřuje, má vygenerovaný SID podle posledních ověřených údajů vůču DC.
Příklad:

Mám 2xPC obě v doméně, přihlašuji se na ně stejným už jménem a heslem.Na prvním PC např. odpojím kabel od sítě tudíž přihlásím se offline.Na druhém PC, který mám na síti změním heslo doménového účtu, přihlásím se pod novým.

Z toho plyne:
Na prvním i druhém PC se hlásím stejným uživatelským účtem, ale na "offline" PC se starým heslem na online PC novým heslem.

Proč:DC mě na offline PC vygeneroval SID na základně nějaké už. jména a hesla to samé udělal i na online PC.Rozdíl je v tom, že offline PC se nemůže logicky ověřit vůči DC takže neví, že jsi si změnil heslo tudíž nevygeneroval nový SID.
Pokud PC "píchneš" zpátky do sítě musíš si změnit heslo jinak nebudeš mít přístup k doménovým prostředkům.

Doufám, že jsem to vysvětlil srozumitelně :-))

oversx
Level 1
Příspěvky: 37
Registrován: 23 zář 2008, 13:55

15 čer 2009, 11:53

Jo dík, už to chápu. Ale i tak ve mě hlodá to, že když se uživatelské jméno a heslo shoduje se SID, tak mě přihlásí. Pokud na tu kombinaci budu zkoušet nějaký (bruteforce) útok, tak by se to mohlo podařit?
Standa

Uživatelský avatar
ipeape
Level 0
Příspěvky: 6
Registrován: 09 říj 2008, 22:22

15 čer 2009, 13:30

oversx píše:Jo dík, už to chápu. Ale i tak ve mě hlodá to, že když se uživatelské jméno a heslo shoduje se SID, tak mě přihlásí. Pokud na tu kombinaci budu zkoušet nějaký (bruteforce) útok, tak by se to mohlo podařit?
SID je vygenerován na základě už. jména a hesla takže se s už. jménem a heslem nemůže shodovat.

Jediná věc, co mě napadá je nějakým způsobem odchytit, upravit a podvrhnout SID.Ale na způsob, jak to udělat, se mě neptej :-))

oversx
Level 1
Příspěvky: 37
Registrován: 23 zář 2008, 13:55

15 čer 2009, 18:34

Tenhle softík http://www.hacktoolrepository.com/tool/43/CacheDump má v readme napsané, že by to mělo jít.
Naposledy upravil(a) oversx dne 15 čer 2009, 18:37, celkem upraveno 1 x.
Standa

Uživatelský avatar
Cheetah
Level 0
Příspěvky: 17
Registrován: 22 zář 2009, 09:48
Kontaktovat uživatele:

14 říj 2009, 07:30

tohle uklada LSA. Jde to dumpovat. Jinak SID neni generovane na zaklade hesla a uz. uctu. To je HASH, ktery se generuje pri prihlaseni (je v tom i GID, clenstvi ve skupinach), proto se zmena ve skupine projevi az po odhlaseni/prihlaseni
JF

Odpovědět
  • Podobná témata
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Informace
  • Kdo je online

    Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti