Как взломать пароль Windows 10, 8 и 7 программой John the Ripper
1. Извлечем хэш из Windows
Диспетчер учетных записей (SAM) – файл базы данных в Windows 10/8/7/XP, который хранит пользовательские пароли в зашифрованном виде, который в свою очередб расположен в следующем каталоге:
Первая вещь, которую мы должны сделать – заполучить хэши пароля от файла SAM.
Просто загрузите бесплатное программное обеспечение PwDump7 и разархивируйте его на вашем локальном PC.
Откройте командную строку.
Переместитесь в папку, где вы извлекли приложение PwDump7, и затем вводите следующую команду:
Как только вы нажмете [ Enter ] PwDump7 получит хэши паролей системы и сохранит их в файл d:\hash.txt.
2. Взлом пароля с John the Ripper
Поскольку вы видите, что хэши пароля все еще нечитабельны – мы должны взломать их используя John the Ripper.
John the Ripper – один из самых популярных инструментов взламывания пароля, который может работать на Windows, Linux и Mac OS x.
Просто загрузите бинарники для Windows John the Ripper и распакуйте содержимое.
Откройте командную строку и смените каталог, куда распаковали John the Ripper и затем выполните:
Теперь мы можем увидеть связки пароль + логин для пользователей Windows.
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
Windows: Как узнать пароли пользователей авторизованных в системе.
Как известно windows хранит пароли пользователей в виде хеша в файле C:\windows\system32\config\sam. Но c пользователями залогиненными в системе дело обстоит немножко по другому. Штука в том, что некоторые системные процессы в своих служебных целях все-таки используют пароли пользователей в открытом (или зашифрованном) виде, а не их хэши. C помощью утилиты mimikatz при наличии прав администратора можно выцепить пароли авторизованных пользователей.
Вариант 1. Достаём пароли из памяти.
Для этого нам понадобятся пользователь с правом на отладку (привилегиями SeDebugPrivilege) и утилита Mimikatz (скачать можно с оф.сайта или отсюда пароль: tmie.ru). Так как права на отладку есть как и локального так и у доменного администраторов, локальный админ может узнать пароль доменного.
Запускаем Mimikatz с правами администратора, включаем отладку:
сохраняем пароли в файл:
В итоге получаем файлик с паролями пользователей в открытом виде.
Вариант 2. Достаем пароли из дампа процесса lsass.exe.
Если на нужном сервере или рабочей станции утилиту блокирует антивирусник, или вы физически не можете работать одновременно с пользователями, можно снять дамп памяти процесса lass.exe ручками или планировщиком.
Снять дамп памяти процесса можно с помощью модуля: Out-Minidump.ps1 (скачать можно отсюда или отсюда)
Импортируем модуль в powershell:
Снимаем дамп процесса lsass.exe.
Запускаем mimikatz и натравливаем его на наш дамп:
Дальше всё так же как и в первом варианте:
Вариант 3. Достаём пароли из файла гибернации (hyberfile.sys).
При желании можно скопировать файл гибернации, конвертнуть его в dmp, и распарсить дебагером. Детально расписано здесь: (Хабр).
Windows memory toolkit community edition (скачать).
Идея: Извлечь пароли пользователей Windows из памяти
Содержание статьи
Существует немало способов и специальных утилит, чтобы извлечь хэши пользовательских паролей из системы. А можно извлечь пароль в открытом виде? Можно!
О чем речь?
Не так давно мы делали комплексный материал о том, как можно сдампить пользовательские пароли из Windows-системы. Утилита Windows Credentials Editor – одно из наиболее известных и универсальных решений. Однако недавно французские исследователи выпустили совершенно убойную наработку mimikatz. Помимо уже известных приемов, она умеет. извлекать пароли пользователей в открытом виде. Правда, только тех, которые осуществили вход в системе. Сначала мы подумали, что это фэйк и подстава, но первый же запуск утилиты подтвердил — все работает. Прога предоставляет свою собственную консоль, из которой можно запустить необходимые модули для различных ситуаций (концепция «швейцарского ножа»). Для извлечения паролей в виде открытого текста понадобится всего три команды:
Как это выглядит?
Попробуем mimikatz. Вывод будет на французском языке, но тебя это не должно пугать: чтобы увидеть пароли, не нужно говорить на языке Шарля Де Голля:
Французский вывод mimikatz не должен тебя пугать
Хакер #159. Подделка контрольной суммы и ЭЦП с помощью коллизий
Как это работает?
Казалось бы: нафига хранить пароли в открытом виде, если выполнить авторизацию можно даже с помощью хэша? На самом деле, последнее возможно не везде. Поэтому в винде есть специальный поставщик безопасности wdigest, чтобы поддерживать такие типы авторизации как, например, HTTP Digest Authentication и другие схемы, где необходимо знать пароль (и хэша недостаточно). Напоследок скажу, что буквально в момент выхода журнала в печать аналогичный функционал появился и в упомянутой выше утилите WCE.
Эффективное получение хеша паролей в Windows. Часть 5
В logon-сессиях Windows сохраняет информацию о любых успешных входах в систему. Информация включает в себя имя пользователя, имя рабочей группы или домена, а также LM/NT-хеши паролей.
Logon-сессии
Ниже представлена модель входа и аутентификации в Windows NT:
Модель входа и аутентификации в Windows NT
Аналогичные данные сохраняются и для процессов, “запускаемых от имени…” (Run As) и служб, выполняющихся в контексте определенного пользователя. Пароли служб сохраняются в незашифрованном виде, и могут быть получены из секретов LSA.
Тем не менее, при аутентификации по сети (например, по протоколам SMB или HTTP) logon-сессии сохраняться не будут, поскольку NT/LM-хеши в действительности не передаются на сервер ¬– для аутентификации используется механизм типа “запрос-ответ”.
Система хранит в памяти конфиденциальную информацию пользователей для того, чтобы использовать технологию единого доступа (Single Sign-On (SSO)). Технология SSO широко применяется в сетях Windows, и в особенности внутри доменов. SSO позволяет пользователю единожды аутентифицироваться в системе и получить доступ к разделяемым ресурсам, (принтеры, HTTP-прокси и.т.п.) без необходимости повторного ввода своих учетных данных: Windows воспользуется хранимой в памяти информацией (имя пользователя, домен/рабочая группа, хеши паролей) и прозрачно для пользователя аутентифицирует его.
Механизм SSO функционирует благодаря тому, что сегодня практически все сервисы Windows (исключением является подключение по RDP) наряду с аутентификацией по паролю поддерживают аутентификацию по NT/LM-хешам.
Получение logon-сессий
Следующие утилиты помогают слить logon-сессии: msvctl от TrueCrypt идеально подходит для 32-битных Windows XP/2003. Последняя версия gsecdump сольет logon-сессии в независимости от версии и архитектуры Windows. Из недавних разработок TrueSec стоит также отметить lslsass: утилита была спроектирована специально для систем Windows Vista и выше. Lslsass безупречно работает как на 32-x, так и на 64-x разрядных системах.
Самые известные утилиты для управления logon-сессиями Windows – это Windows Credentials Editor (WCE) и ее предшественница Pass-the-Hash Toolkit (PTK). Обе утилиты представляют собой результат плодотворной работы основателя компании Amplia Security Хернана Очоа (Hernan Ochoa). По своим разработкам он сделал несколько презентаций, среди которых:
Из двух утилит я по ряду причин предпочитаю WCE: во-первых, WCE – это самостоятельный EXE-файл; во-вторых, WCE безопаснее, поскольку не приводит к падению процесса LSASS при чтении памяти; и в-третьих, утилита работает на всех версиях и архитектурах Windows.
Специально для целей статьи я установил Windows Server 2003 Service Pack 2 со всеми обновлениями (NetBIOS-имя w2k3r2), и произвел следующие действия:
Утилита lslsass была намеренно исключена из эксперимента, так как она работает только на системах Windows Vista и выше.
Все тестируемые утилиты удачно слили logon-сессии. Ниже показан результат работы Windows Credential Editor:
Мы получили имя пользователя, имя домена/рабочей группы и LM/NT-хеши. Результаты тестируемых утилит и утилит для получения хеша из SAM очень похожи, за исключением того, что тестируемые утилиты могут отобразить учетные данные не только локальных, но и доменных пользователей тоже.
Следующий скриншот также подтверждает удачность атаки:
Получение logon-сессий с помощью Windows Credential Editor (WCE) на Windows Server 2003 R2
(Administrator имеет доступ к консоли, два пользователя подключены удаленно по RDP и один процесс выполняется в контексте локального пользователя)
Во время проведения эксперимента я понял, что независимо от того, как именно завершаются сессии, logon-сессии все равно остаются в памяти. Например, неважно как вы закроете RDP-соединение: нажмёте X в левом верхнем углу RDP-клиента или выйдете из системы через меню “ПУСК” – logon-сессия все равно останется в памяти. Подобные вещи происходят и в Windows Server 2008 R2 Enterprise Service Pack 1. В системах Windows Vista и выше logon-сессии стираются из памяти спустя пару минут после выхода пользователя из системы.
Вышеописанное поведение продемонстрировано на следующем скриншоте:
Получение logon-сессии после отключения от RDP пользователя foobar: его logon-сессия осталась в памяти
Получение logon-сессии после принудительного отключения от RDP пользователя foobar: его logon-сессия осталась в памяти
Logon-сессия db2admin также осталась в памяти, несмотря на то, что соответствующий сервис был остановлен.
Какие угрозы влечет за собой получение logon-сессии
Тогда попробуйте слить logon-сессии. Если вам удастся получить logon-сессию доменного администратора, то вы победили: осталось только использовать полученную logon-сессию, чтобы выдать себя за администратора и получить доступ к командной строке. Такая атака также известна, как “pass-the-hash” (“передача хеша”) или кража logon-сессии.
В командной строке наберите следующее:
В новом открывшемся окне командной строки подключитесь по SMB (например, с помощью утилиты PsExec компании Sysinternals) к корневому контроллеру домена. Система, скорее всего, успешно аутентифицирует вас как администратора домена, потому что, по сути, вы предоставили учетные данные именно этого пользователя.
Если же logon-сессии администратора домена на захваченной вами системе нет, то проверьте (с помощью утилиты keimpx), на какие еще системы в домене пользователь может войти. Есть вероятность, что новые захваченные системы содержат необходимую вам информацию об учетных данных администратора домена, и поэтому, повторяя те же самые действия, вам, возможно, удастся захватить контроллер домена.
Помимо WCE есть и другие утилиты, способные провести атаку передачи хеша: например, msvctl и RunhAsh от TrueSec. Все новые утилиты я добавил в таблицу. Буду рад вашим отзывам и предложениям!
Как узнать хэш пароля windows 10
Cached credentails
В случае, если пароль пользователя хранится в Active Directory, то по вышеуказанному адресу будет лежать лишь хэши пустых строк, LN и NT соответственно : aad3b435b51404eeaad3b435b51404ee : 31d6cfe0d16ae931b73c59d7e0c089c0
Однако, Windows хранит последние 10 (по умолчанию) используемых для входа пользователя хэшей в реестре, по адресу
HKEY_LOCAL_MACHINE\SECURITY\Cache.
До выхода в свет Windows Vista это были хэши MSCACHE (MSCASH в терминологии JohtTheRipper) вида:
NTLMHash( NTLMHash(password) + username ),
где имя пользователя это юникод строка в нижнем регистре [Cached Credentials, openwall: MSCash]. Таким образом в качестве «соли» использовалось имя пользователя.
С выходом Windows Vista стал использоваться хэш MSCASH2 (MSCash2).
Пример MSCASH2 хэша для пароля Password123 и пользователя test2 : d7f91bcdec7c0df39396b4efc81123e4
Получение хэшей
Из Windows. fgdump (pwdump) [download]
123:1004:CCF9155E3E7DB453AAD3B435B51404EE:3DBDE697D71690A769204BEB12283678.
HelpAssistant:1000:AA110CC154019E6EC3B0E1F17C1A6005:53BDA4C8B460DCA36AB5AF9297EF6632.
qwerty:1003:NO PASSWORD*********************:NO PASSWORD*********************.
SUPPORT_388945a0:1002:NO PASSWORD*********************:95936DCF173773EE3AF60E929F5B19A3.
user1:1005:D4A0539829018EA7AAD3B435B51404EE:AEBF16E3B8F04FD2995C2E8F4F8820D5.
user2:1006:D4A0539829018EA7AAD3B435B51404EE:BD36CFFAA3C4AF5CE6FBBDCC0020B6EF.
user3:1007:96FA5702D3668DE796FA5702D3668DE7:AB4580D78905FC473FE721A043457167.
user4:1008:NO PASSWORD*********************:AE72983EDE69AC85AF294B54A55E3A09.
Утилита позволяет получить хэши для доменной учётной записи (MSCASH).
