БИБЛИЯ ХАКЕРА

Извлечение и вскрытие текстовых паролей из украденной SAM

Рассмотрим взлом SAM файла более подробнее, углубимся в дета­ли... Итак, как было сказано ранее, информация обо всех пользователях Windows NT/2000 и их паролях хранится в базе данных системы (registry), которая физически расположена в файле %SystemRoot%SYSTEM32 CONFIGSAM — базе данных безопасности системы. Данный файл явля­ется по умолчанию заблокированным, т. к. используется прочими компо­нентами системы. Поэтому вам не удастся напрямую скопировать этот файл. Однако, если администратор системы регулярно выполняет опера­цию создания диска ERD (Emergency Repair Disk), то относительно све­жая копия данного файла содержится в директории %SystetnRoot% REPAIR. Но если администратор системы не выполнял данную опера­цию, то полученная база будет содержать пользователей Administrator и Guest, с паролями присвоенными во время инсталляции операционной системы. Пароли в данном файле хранятся в 16-байтномзначении, заши­фрованном (в кодировке UNICODE) с использованием хэш-алгоритма MD4. Поэтому для взлома паролей Windows NT/2000, вам необходимо выделить из базы данных безопасности системы имя пользователя и со - ответствуюшее ему хэш-значение. Данная процедура может быть выпол­нена с использованием программного обеспечения, доступного через Internet и которое описано ниже.

Программа LOphtCrack(http: //www. IOpht. com / lOphtcrack/)

Программа LOphtCrack позволяет вычислять пароли, используя два различных метода. При использовании первого метода применяется по­исковая словарная таблица, которую определяет специальный файл сло­варя. Хешированные пароли для всех слов в файле словаря уже являются вычисленными и сравниваются со всеми паролями для пользователей данной SAM. Когда имеется соответствие — пароль известен. Этот метод чрезвычайно быстр. Тысячи пользователей могут быть проверены при по­мощи 300 КБ файла словаря всего за несколько минут на обычном PII, Недостаток этого метода состоит в том, что при помощи словаря можно определить только очень простые пароли, которые существуют в англий­ском языке (словарный запас которого не превышает 100 тыс. сЛов).

Для открытия словаря word-english вам необходимо выполнить ко­манду «File» (Файл) О «Open Wordlist File» (Открыть словарь).

Второй метод использует последовательный перебор набора симво­лов типа A-Z или A-Z и 0-9 (и также других наборов) и вычисляет хеш для каждого возможного пароля для этих символов. Единственный недоста­ток данного метода — время. Данный метод использует интенсивный пе­ребор значений, что требует больших вычислительных мощностей. Чем больший набор символов вы указали в меню «Tools» (Сервис) О «Options» (Параметры), тем дольше времени требуется для перебора всех значений.

Набор символов A-Z требует приблизительно 7 часов вычислений на 600 терцовых процессорах PIII или Athlon. Представьте себе, что через каких-нибудь 7 часов вы будете иметь ключи от системы, и будете эдаким маленьким богом, местного значения или не местного, как повезет. На­бор A-Z и 0-9 требует приблизительно трое суток.

Однако программа LOphtCracks разработана с учетом возможности интенсивных и долговременных вычислений и может использовать пре­имущества многопроцессорных систем. Если вы не хотите, чтобы про­грамма присутствовала в панели задач, выберите в меню «Window» (Окно) Ф «Hide, Ctrl+Alt+L to Show» (Спрятать, для вывода на экран нажмите Ctrl+Alt+L). При запуске данной программы на многопроцессорном сер­вере, она будет выполняться низким приоритетом, используя вычисли­тельные возможности неактивного центрального процессора. Программа регулярно, через каждые пять минут, сохраняет результаты вычислений, что позволяет восстанавливать состояние вычислений в случаях отключе­ния питания или перезагрузок. Открытие файла, с которым программа работала до перезагрузки можно из меню «File» (Файл) «Open Password File» (Открыть файл паролей).

Инсталляция

Для инсталляции просто разархивируйте дистрибутивный архив в любой каталог на жестком диске. Создайте ярлык к программе lOpht - crack. exe (или 10phtcrack95.exe для Windows 95/98). Кроме того, если вы физически подключены к данной локальной сети и используете Windows NT 4.0 (или Window 2000), вы можете использовать сетевой sniffer read - smb. exe, при помощи которого можно получить пароли клиентских ма­шин Windows 3.11/95/95 и MS-DOS. Перед использованием сетевого snif - fer'a необходимо предварительно установить сетевой NDIS-драйвер, который входит в дистрибутивный комплект. Этот драйвер может рабо­тать только поверх драйвера реально присутствующей в системе сетевой Ethernet-платы и использует протокол CSMA-CD. Для установки NDIS- драйвера откройте апплет «Network» (Сеть) в панели управления. На вкладке «Protocols» (Протоколы) нажмите кнопку «Add» (Добавить). Затем нажмите кнопку «Have Disk» (Установить с диска) и определите каталог, в который вы установили LOphtCrack и в котором находится файл Oemsetup. inf файл. После перезагрузки вы сможете использовать сетевой sniffer readsmb. exe, для перехвата паролей клиентских машин Windows.

Получение хешированных паролей

Перед вычислением паролей необходимо получить доступ к хеши - рованным паролям. Существуют три основных метода получения хеши - рованных паролей: непосредственно из системного реестра, из файла SAM или при помощи сетевого sniffer'a.

Получение хешированных паролей непосредственно из

Реестра

Если вы обладаете административными привилегиями, вы можете получить хешированные пароли, используя команду «Tools» (Сервис) «=Г> «Dump Password from Registry» (Получить дамп пароля из реестра). Для этого укажите имя компьютера или адрес IP в формате \Computer_name или \IP-address.

Однако сервер Windows NT/2000 может запретить попытку доступа к системному реесчру по сети, если сконфигурирован надлежащим обра­зом.

Кроме того, если версия Windows NT/2000 локализована, для груп­пы «Administrator» используется переведенное на другой язык слово, на­пример для русского языка «Администратор». Для того, чтобы программа LOphtCrack корректно обратилась к дампу системного реестра удаленно­го компьютера, вам необходимо изменить ключ системного реестра на ва­шем локальном компьютере. Для этого запустите программу regedit. exe и отредактируйте значение ключа HKEY_CURRENT_USER SoftwareLHI LOphtCrackAdminGroupName.

Присвойте значению этого ключа название группы «Administrator» для локализованной версии Windows NT (2000).

Получение хешированных паролей из файла SAM

Вы можете получить хешированные пароли из файла SAM на жест­ком диске, с резервной ленты или дискеты ERD (Emergency Repair Disk). Системный реестр NT фактически сохранен в нескольких различных файлах на системном диске в каталоге %SystemRoot%SYSTEM32CON - FIG. Если вы имеете физический доступ в компьютеру с установленной операционной системой Windows NT/2000, вы можете загрузить машину при помощи системной дискеты DOS и использовать программу типа NTFSDOS (Http://www. ntinternals. com/ntfs20r) чтобы скопировать файл SAM на гибкий диск. Затем вы можете использовать команду программы LOphtCrack «Import SAM File» (Импорт SAM-файла), которая расположе­на в меню «File» (Файл) чтобы извлечь хешированный пароль из файла

SAM. Если вы работаете с компьютером Windows NT (2000) удаленно, то вам остается только воспользоваться резервной копией базы SAM, кото­рая хранится в каталоге %SystemRoot%REPAIR. Кроме того, если у вас имеется возможность получить доступ к кассетам стримера, на который производится ежедневный backup или к дискетам ERD, то вы можете ско­пировать файл SAM оттуда. Если вам удалось использовать дискету ERD, скопируйте оттуда сжатый файл sara._ и затем - выполните команду:

EXPAND SAM._ SAM

Затем разжатый файл sam._ может импортироваться в LOphtCrack.

Однако, если администратор системы установил Service Pack 3 for NT 4.0 и использует утилиту SYSKEY для дополнительной криптоустой - чивой шифрации файлов реестра, то программа LOphtCrack (это справед­ливо для версий более ранних, чем LOphtCrack 2.5) не сможет произвести импорт файла SAM.

Использование сетевого Sniffer'a для получения для получения хешированных паролей

Если администратор системы использует утилиту SYSKEY, и вам отказано в доступе к системному реестру по сети, имеется третий метод для получения хешированных паролей. Для этого используется сетевой sniffer, который выполняет прослушивание и отбор пакетов для всех уст­ройств в физическом сегменте Ethernet-сети. Сетевой sniffer, включенный с LOphtCrack, реализован в виде файла readsmb. exe, который работает только в Windows NT 4.0 (в последней версии программы реализован се­тевой sniffer для Windows 95/98).

Для запуска сетевого sniffer'a следует использовать команду:

READSMB > PASSWD

Как вы видите из данной команды, вся информация, полученная сетевым sniffer'oM будет перенаправляться в текстовый файл passwd. Для сбора всех хешированных паролей пользователя достаточно запустить sniffer один раз утром, в период времени, когда большинство пользовате­лей приходит на работу и производит регистрацию в сети. Затем вы може­те прервать работу этой программы и открыть файл passwd в LOphtCrack.

Для включения режима отладки используйте команду

READSMB - V

На медленных машинах - v опция может приводить к тому, что readsmb будет пропускать некоторые пакеты, так что эта опция действи­тельна только для отладки и исследования.

Выделение паролей из хеша

После того, как вы получили набор хешированных паролей, и загру­зили их в программу LOphtCrack, а также открыли словарь word-english, вы можете приступить к вычислению настоящих текстовых Для на­

Чала этой операции выполните команду «Run» (Запуск) из меню «Tools» (Сервис). Опции, установленные в диалоговом окне «Tools Options» по умолчанию, определяют, что сначала будет произведено вычисление па­ролей при помощи словаря word-english. Затем будет производится опре­деление паролей при помощи последовательного перебора заданных зна­чений, что требует уже более длительного времени. LOphtCrack сохраняет состояние вычислений каждые 5 минут в *.LC файл.

Новые возможности LOphtCrack 2.52

Ф Увеличение быстродействия на 450% за счет

Оптимизированного ассемблерного кода для Pentium, Pentium MMX, Pentium Pro, и Pentium II и III. Это приводит к увеличению быстродействия. Все алфавитно-цифровые пароли могут быть найдены за трое суток на Pentium II/450.

• Новый гибридный метод расшифровки объединяет самые лучшие качества словарного и метода прямого подбора.

• Возможность подключения национальных словарей.

Ф Реализация сетевого SMB sniffer'aдля операционных систем Windows 95/98.

Встроенная утилита которая позволяет

Произвести извлечение хешированных паролей из файла SAM, который зашифрован при помощи утилиты SYSKEY из SP3.

Утилита PWDUMP2 Http://www. webspan. net/~tas /pwdump2/ позво­ляет получить список хешированных паролей даже в системе с включен­ной утилитой SYSKEY. Данная программа может функционировать если только, пользователь, ее запустивший, имеет привилегию «Отладка про­грамм» и является членом группы Administrators. Кроме того, данная ути­лита может использоваться в том случае, если с атакуемой системы уда­лось получить копию базы данных безопасности системы.

Получение паролей Windows NT при помощи

Если вы получили доступ к клиентским компьютерам Windows 3.11/95/98, которые функционируют в локальной сети, вы можете узнать пароль системного администратора или других бюджетов в домене Windows NT косвенным образом. Для этого необходимо собрать все до­ступные *.PWL файлы, которые располагаются в системных каталогах Windows 3.11/95/98. Для расшифровки этих файлов вы можете использо­вать программу repwl. exe, которую можно найти по адресу http://web - don. com /vitas/pwltool. htm. Это одна из лучших программ для вычисления паролей из PWL-файлов, которая почти мгновенно может вычислить лю­бой пароль.

Открыв при помощи кнопки «Browse» (Пролистать) PWL-файл, вы­берите в списке нужный набор символов и затем нажмите кнопку «Search Password» (Поиск пароля). Найденные таким образом пароли помогут вам затем получить доступ к главному доменному серверу Windows NT.

Но помните, что для более совершенной защиты, системные адми­нистраторы, которые посообразительней, могут не ограничиться приме­нением специальных утилит, но могут установить вручную еще более жесткие права на объекты файловой системы. В частности, за рекоменда­циями по установке таких ограничений они могут обратиться по адресу: Http://Www.Microsoft.Com/Ntserver/Security/Exec/Overview/Secure_NTIn- stall. asp

Соответственно там же можно искать и противоядие от их мощной защиты.

К счастью, у дяди Билли работают еще такие люди, которые могут совершить ошибку, и благодаря таким людям мы можем проникнуть в си­стему через те дыры, которые они нам предоставляют. В частности, одной из таких дыр является возможность повысить свой уровень привилегий и войти в группу администраторов, а потом... Достигается это с помощью программы (автор — Константин Соболев). Правда в Service

Pack 4 возможность эта устранена, но рискнуть стоит. Идея, заложенная в ней, довольно таки проста и гениальна. Системные процессы в NT рабо­тают, как правило под System Account, а значит имеют на локальном ра­бочем месте администраторские права. Делайте вывод. Но, к сожалению Billy сработал оперативно, в SP4 это уже залатали. Но не стоит отчаиваться, кто ищет, тот всегда найдет.