/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|
|/ |/
/| /|
|/ |/
/| Crackeando los passwords en Windows NT /|
|/ -------------------------------------- |/
/| /|
|/ por Caos - Ezkracho Team |/
/| /|
|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/|/
-----------------------------------------------
Este texto esta escrito dentro de los primeros
"127" caracteres del codigo ASCII para evitar
posibles errores al visualizarlo; por lo que no
se usaran acentos y la "enie" se pondra como ~.
-----------------------------------------------
Introduccion.
-------------
En este texto vamos a tratar las distintas formas de crackear los
passwords de Windows NT. Esto nos puede ser muy util a la hora de hacer
una auditoria de seguridad en nuestro sistema, o para seguir confirmando
las debilidades del M$ Windows NT
Cualquier comentario o duda la pueden hacer en "ezkracho@hotmail.com" o
pueden dejar un mensaje en el forum de la web del Ezkracho Team en:
"www.ezkracho.piratas.org"; espero que lo disfruten !!
Crackeando los passwords en Windows NT.
---------------------------------------
Lo primero que tenemos que hacer es conseguir los passwords hashes (trozos
de password encriptados pero en formato texto ASCII) y hay 3 formas de
hacerlo, desde un archivo SAM del disco, directamente del registro o
mediante el uso de un sniffer.
Obteniendo el archivo SAM.
--------------------------
Hay 3 formas en la que podemos extraer un password hash de un archivo
SAM en el disco rigido, desde donde el sistema guarda el SAM, del disco
de reparacion de Windows NT o de una cinta de backup.
Para obtener el archivo SAM del disco rigido lo podemos encontrar en el
directorio \WINNTSYSTEM32CONFIG. Por default este archivo se puede
leer pero no lo vamos a poder hacer mientras Windows NT se este ejecutando
porque en ese momento se encuentra abierto de forma exclusiva por el
sistema operativo. Lo que podemos hacer es iniciar la PC con otro sistema
operativo y copiarlo directamente, si lo hacemos desde Linux no vamos a
tener problemas porque este soporta las particions NTFS de Windows NT;
pero si lo queremos hacer desde Windows 9x, deberemos conseguir un
programa como el Ntfsdos que nos permite acceder a la particion NTFS desde
una particion FAT como la de Windows 9x; osea que haces un disco de inicio
y copias el Ntfsdos en el, inicias el sistema con este disco y ejecutas el
Ntfsdos que lo que hace es montar la particion NTFS a la FAT y entonces
te vas al directorio \WINNTSYSTEM32CONFIG y copias el archivo SAM al
disco.
Otra forma de obtener el archivo SAM es mediante el disco de reparacion;
durante la instalacion de Windows NT una copia del archivo de passwords
es puesta en el directorio \WINNTREPAIR. En este archivo ya que se creo
durante la instalacion solo vamos a encontrar la cuenta del Administrador
y la del Guest y nos va a ser util solo si el Administrador no cambio la
contrase~a despues de la instalacion; pero si el Administrador actualizo
sus discos de reparacion entonces si vamos a poder encontrar una copia de
todos los passwords del sistema. En este directorio vamos a encontrar el
archivo SAM pero comprimido como SAM._ para poder crackearlo con el
L0phtCrack que es uno de los mejores crackeadores de NT lo hacemos
normalmente pero siempre y cuando lo estemos corriendo bajo Windows NT,
si en cambio estamos corriendo el L0phtCrack en Windows 95/98 para poder
importar el SAM._ primero vamos a tener que descomprimirlo utilizando el
comando "expand" de Windows NT de la siguente forma: "expand SAM._ SAM"
y luego lo importamos normalmente para poder crackearlo.
El archivo SAM tambien queda guardado en las cintas de copia de seguridad
cuando se hace un backup del sistema. Si conseguis una cinta de backup,
podes restaurar el archivo SAM de \WINNTSYSTEM32CONFIG a otra
computadora para despues crackearlo.
La herramienta que vamos a utilizar para crackear los SAM va a ser el
L0phtCrack, simplemente porque es el mejor crackeador de passwords de
Windows NT. Una vez que ya tenemos el SAM tememos que ir al menu "File"
y seleccionar la opcion "Import SAM File..." que nos va a desplegar un
menu para poder seleccionar el archivo, una vez que ya lo importamos
vamos a la opcion "Tools" y seleccionamos la opcion "Run Crack", luego
de esto es cuestion de tiempo y por supuesto suerte.
Volcando los passwords desde el registro.
-----------------------------------------
Otro metodo para obtener los password encriptados de un NT, es volcarlos
desde el registro. Para hacer esto vamos a utilizar la opcion "Tools Dump
Passwords from Registry' de la herramienta L0phtCrack.
Si tenemos privilegios de Administrador podemos volcar los passwords
encriptados desde una maquina localmente, o sobre la red si es que la
maquina remota tiene permisos de acceso al registro atraves de la red;
solamente especificamos el nombre de la computadora o la direccion IP de
esta con el formato comun de M$ "\nombre de la computadora" o
"\direccion IP" dentro del cuadro de dialogo de "Dump Password from
Registry" y presionamos OK.
Una vez que hicimos todo esto ya tendriamos cargados los passwords
encriptados dentro del L0phtCrack; asi que ahora solo debemos proceder
a crackear.
Una cosa a tener en cuenta es que si tenemos la version en espa~ol del
Windows NT la palabra Administrator esta cambiada por Administrador; por
lo que el L0phtCrack no nos va a funcionar. Lo que vamos a hacer es editar
el registro de Windows NT y decirle al L0phtCrack que busque por
Administrador y no por Administrator, para esto vamos a editar el registro
de la siguiente forma, usamos el regedit.exe y editamos la siguiente
clave:
HKEY_CURRENT_USERSoftwareL0phtL0phtCrackAdminGroupName
y cambiamos el valor que viene por Administrador.
Ademas de todo esto, Microsoft incluyo en el Service Pack 3 la utilidad
SYSKEY que lo que hace es encriptar los passwords hashes, osea que si el
SP3 esta instalado en el sistema no vamos a poder volcar los passwords
del registro; esto por lo menos usando el L0phtCrack, pero todavia
podemos usar otra utilidad gratuita escrita por Todd Sabin llamada
PWDUMP2, esta utilidad nos permite obtener los passwords hashes
encriptados con la utilidad SYSKEY y exportarlos a un archivo de texto
para despues poder crackearlo con el L0phtCrack.
El PWDUMP2 sirve siempre que se use localmente y se tenga privilegios de
Administrador, pero entonces para que nos va a servir con propositos de
hacking?, bueno porque puede trabajar con cualquier copia del registro. Y
recordemos que hay muchos malos Administradores de un sistema que permiten
a los usuarios de dominio conectarse localmente, y que tambien durante la
instalacion han realizado un disco de rescate (rdisk.exe) ya que la opcion
por defecto es "Si", y recordemos que cada vez que se ejecuta rdisk.exe
NT hace una copia del registro en %SystemRoot%Repair (normalmente
%SystemRoot% es c:winnt). Y los permisos por defecto para ese directorio
son de "lectura" para todos los usuarios.
Tengamos en ceunta que L0phtCrack esta limitado a volcar y abrir 65K de
usuarios. Y si la lista de passwords es larga y tiene mas de 10.000
usuarios pongamonos muy comodos porque vamos a esperar un rato...
Usando un sniffer.
------------------
Otro metodo que tenemos es capturar los passwords encriptados estando en
una red, si tenemos un objetivo especifico deberiamos estar en el mismo
segmento de red que la victima. Este metodo es muy util si no tenemos
acceso fisico ni remoto, o esta instalado el SYSKEY.
Para hacer esto vamos a utilizar la opcion "Tools SMB Packet Capture" del
L0phtCrack, esto nos abrira una ventana y ya estariamos capturando todas
las sesiones de autenticacion SMB.
En este texto siempre estamos hablando de la version 2.5 del L0phtCrack,
asi que si tenian instalado una version anterior de esta herramienta
hay remover el driver de red NDIS de la solapa "Protocolos" de la
configuracion de "Red" en el "Panel de Control" (esto es en Windows NT).
Todos los logueos que vayamos capturando iran apareciendo en la ventana
del SMB Packet Capture, para guardar esto lo podemos hacer con el boton
"Save Capture". Para comenzar a crackear los passwords que capturamos
primero los tenemos que guardar y luego abrir el archivo que se creo.
Si dejamos al L0phtCrack uno o dos dias capturando passwords seguramente
tendriamos los suficientes como para realizar nuestro objetivo.
Donde conseguir los programas que necesitamos?
----------------------------------------------
Aqui se muestra donde conseguir y una breve rese~a de todos los programas
que se mencionan durante el desarrollo del articulo; tambien los podes
bajar de la web de Ezkracho: http://www.ezkracho.piratas.org/ pero
igualmente se va a poner la fuente original de estos.
Ntfsdos.
--------
El Ntfsdos lo podemos encontrar en http://www.systernals.com/ntfs20r.zip
y como ya se explico nos sirve para acceder a una particion NTFS desde
una particion FAT, no hace falta decir cual es la gran ventaja de esto.
L0phtCrack.
-----------
El L0phtCrack lo podemos encontrar en http://www.l0pht.com/l0phtcrack/
la ultima version que podemos encontrar hasta el momento es la 2.5 que
se puede usar durante un periodo de prueba por 15 dias, luego vamos a
necesitar registrarlo para continuar con su uso.
El metodo mas rapido para crackear un password es mediante una ataque de
diccionario, podemos usar el diccionario que viene con el L0phtCrack que
es chico pero muy efectivo o tambien buscar en la red un diccionario
mucho mas grande que seguro hay muchos dando vuelta.
Otro metodo que utiliza L0phtCrack es el llamado "hibrido" que lo que
hace es a las palabras que encuentra en el diccionario agregarles letras
o simbolos, por ejemplo hay gente que pone su nombre con simbolos al
final o intermedio, Juan$$Perez o JuanPerez!!.
El tercer y ultimo metodo que utiliza el L0phtCrack es el de Fuerza Bruta
que ya todos saben como funciona, este es el metodo mas seguro y descifra
la clave sin ninguna duda, solo es cuestion de tiempo...
PWDUMP2.
--------
El PWDUMP2 es un programa gratuito escrito por Todd Sabin y lo podemos
encontrar en http://www.webspan.net/~tas/pwdump2/. Para una mayor
descripcion de como conseguir los passwords hashes para usarlos con esta
utilidad ver en la pagina web de esta utilidad.
Cabe acotar que el uso de PWDUMP2 en conjunto con L0phtCrack es una
excelente arma, para realizar auditorias por supuesto...
Hasta la proxima
Cualquier comentario o duda la pueden hacer en "ezkracho@hotmail.com" o
pueden dejar un mensaje en el forum de la web del Ezkracho Team en:
"www.ezkracho.piratas.org"; espero que lo disfruten !!
Crackeando los passwords en Windows NT.
---------------------------------------
Lo primero que tenemos que hacer es conseguir los passwords hashes (trozos
de password encriptados pero en formato texto ASCII) y hay 3 formas de
hacerlo, desde un archivo SAM del disco, directamente del registro o
mediante el uso de un sniffer.
Obteniendo el archivo SAM.
--------------------------
Hay 3 formas en la que podemos extraer un password hash de un archivo
SAM en el disco rigido, desde donde el sistema guarda el SAM, del disco
de reparacion de Windows NT o de una cinta de backup.
Para obtener el archivo SAM del disco rigido lo podemos encontrar en el
directorio \WINNTSYSTEM32CONFIG. Por default este archivo se puede
leer pero no lo vamos a poder hacer mientras Windows NT se este ejecutando
porque en ese momento se encuentra abierto de forma exclusiva por el
sistema operativo. Lo que podemos hacer es iniciar la PC con otro sistema
operativo y copiarlo directamente, si lo hacemos desde Linux no vamos a
tener problemas porque este soporta las particions NTFS de Windows NT;
pero si lo queremos hacer desde Windows 9x, deberemos conseguir un
programa como el Ntfsdos que nos permite acceder a la particion NTFS desde
una particion FAT como la de Windows 9x; osea que haces un disco de inicio
y copias el Ntfsdos en el, inicias el sistema con este disco y ejecutas el
Ntfsdos que lo que hace es montar la particion NTFS a la FAT y entonces
te vas al directorio \WINNTSYSTEM32CONFIG y copias el archivo SAM al
disco.
Otra forma de obtener el archivo SAM es mediante el disco de reparacion;
durante la instalacion de Windows NT una copia del archivo de passwords
es puesta en el directorio \WINNTREPAIR. En este archivo ya que se creo
durante la instalacion solo vamos a encontrar la cuenta del Administrador
y la del Guest y nos va a ser util solo si el Administrador no cambio la
contrase~a despues de la instalacion; pero si el Administrador actualizo
sus discos de reparacion entonces si vamos a poder encontrar una copia de
todos los passwords del sistema. En este directorio vamos a encontrar el
archivo SAM pero comprimido como SAM._ para poder crackearlo con el
L0phtCrack que es uno de los mejores crackeadores de NT lo hacemos
normalmente pero siempre y cuando lo estemos corriendo bajo Windows NT,
si en cambio estamos corriendo el L0phtCrack en Windows 95/98 para poder
importar el SAM._ primero vamos a tener que descomprimirlo utilizando el
comando "expand" de Windows NT de la siguente forma: "expand SAM._ SAM"
y luego lo importamos normalmente para poder crackearlo.
El archivo SAM tambien queda guardado en las cintas de copia de seguridad
cuando se hace un backup del sistema. Si conseguis una cinta de backup,
podes restaurar el archivo SAM de \WINNTSYSTEM32CONFIG a otra
computadora para despues crackearlo.
La herramienta que vamos a utilizar para crackear los SAM va a ser el
L0phtCrack, simplemente porque es el mejor crackeador de passwords de
Windows NT. Una vez que ya tenemos el SAM tememos que ir al menu "File"
y seleccionar la opcion "Import SAM File..." que nos va a desplegar un
menu para poder seleccionar el archivo, una vez que ya lo importamos
vamos a la opcion "Tools" y seleccionamos la opcion "Run Crack", luego
de esto es cuestion de tiempo y por supuesto suerte.
Volcando los passwords desde el registro.
-----------------------------------------
Otro metodo para obtener los password encriptados de un NT, es volcarlos
desde el registro. Para hacer esto vamos a utilizar la opcion "Tools Dump
Passwords from Registry' de la herramienta L0phtCrack.
Si tenemos privilegios de Administrador podemos volcar los passwords
encriptados desde una maquina localmente, o sobre la red si es que la
maquina remota tiene permisos de acceso al registro atraves de la red;
solamente especificamos el nombre de la computadora o la direccion IP de
esta con el formato comun de M$ "\nombre de la computadora" o
"\direccion IP" dentro del cuadro de dialogo de "Dump Password from
Registry" y presionamos OK.
Una vez que hicimos todo esto ya tendriamos cargados los passwords
encriptados dentro del L0phtCrack; asi que ahora solo debemos proceder
a crackear.
Una cosa a tener en cuenta es que si tenemos la version en espa~ol del
Windows NT la palabra Administrator esta cambiada por Administrador; por
lo que el L0phtCrack no nos va a funcionar. Lo que vamos a hacer es editar
el registro de Windows NT y decirle al L0phtCrack que busque por
Administrador y no por Administrator, para esto vamos a editar el registro
de la siguiente forma, usamos el regedit.exe y editamos la siguiente
clave:
HKEY_CURRENT_USERSoftwareL0phtL0phtCrackAdminGroupName
y cambiamos el valor que viene por Administrador.
Ademas de todo esto, Microsoft incluyo en el Service Pack 3 la utilidad
SYSKEY que lo que hace es encriptar los passwords hashes, osea que si el
SP3 esta instalado en el sistema no vamos a poder volcar los passwords
del registro; esto por lo menos usando el L0phtCrack, pero todavia
podemos usar otra utilidad gratuita escrita por Todd Sabin llamada
PWDUMP2, esta utilidad nos permite obtener los passwords hashes
encriptados con la utilidad SYSKEY y exportarlos a un archivo de texto
para despues poder crackearlo con el L0phtCrack.
El PWDUMP2 sirve siempre que se use localmente y se tenga privilegios de
Administrador, pero entonces para que nos va a servir con propositos de
hacking?, bueno porque puede trabajar con cualquier copia del registro. Y
recordemos que hay muchos malos Administradores de un sistema que permiten
a los usuarios de dominio conectarse localmente, y que tambien durante la
instalacion han realizado un disco de rescate (rdisk.exe) ya que la opcion
por defecto es "Si", y recordemos que cada vez que se ejecuta rdisk.exe
NT hace una copia del registro en %SystemRoot%Repair (normalmente
%SystemRoot% es c:winnt). Y los permisos por defecto para ese directorio
son de "lectura" para todos los usuarios.
Tengamos en ceunta que L0phtCrack esta limitado a volcar y abrir 65K de
usuarios. Y si la lista de passwords es larga y tiene mas de 10.000
usuarios pongamonos muy comodos porque vamos a esperar un rato...
Usando un sniffer.
------------------
Otro metodo que tenemos es capturar los passwords encriptados estando en
una red, si tenemos un objetivo especifico deberiamos estar en el mismo
segmento de red que la victima. Este metodo es muy util si no tenemos
acceso fisico ni remoto, o esta instalado el SYSKEY.
Para hacer esto vamos a utilizar la opcion "Tools SMB Packet Capture" del
L0phtCrack, esto nos abrira una ventana y ya estariamos capturando todas
las sesiones de autenticacion SMB.
En este texto siempre estamos hablando de la version 2.5 del L0phtCrack,
asi que si tenian instalado una version anterior de esta herramienta
hay remover el driver de red NDIS de la solapa "Protocolos" de la
configuracion de "Red" en el "Panel de Control" (esto es en Windows NT).
Todos los logueos que vayamos capturando iran apareciendo en la ventana
del SMB Packet Capture, para guardar esto lo podemos hacer con el boton
"Save Capture". Para comenzar a crackear los passwords que capturamos
primero los tenemos que guardar y luego abrir el archivo que se creo.
Si dejamos al L0phtCrack uno o dos dias capturando passwords seguramente
tendriamos los suficientes como para realizar nuestro objetivo.
Donde conseguir los programas que necesitamos?
----------------------------------------------
Aqui se muestra donde conseguir y una breve rese~a de todos los programas
que se mencionan durante el desarrollo del articulo; tambien los podes
bajar de la web de Ezkracho: http://www.ezkracho.piratas.org/ pero
igualmente se va a poner la fuente original de estos.
Ntfsdos.
--------
El Ntfsdos lo podemos encontrar en http://www.systernals.com/ntfs20r.zip
y como ya se explico nos sirve para acceder a una particion NTFS desde
una particion FAT, no hace falta decir cual es la gran ventaja de esto.
L0phtCrack.
-----------
El L0phtCrack lo podemos encontrar en http://www.l0pht.com/l0phtcrack/
la ultima version que podemos encontrar hasta el momento es la 2.5 que
se puede usar durante un periodo de prueba por 15 dias, luego vamos a
necesitar registrarlo para continuar con su uso.
El metodo mas rapido para crackear un password es mediante una ataque de
diccionario, podemos usar el diccionario que viene con el L0phtCrack que
es chico pero muy efectivo o tambien buscar en la red un diccionario
mucho mas grande que seguro hay muchos dando vuelta.
Otro metodo que utiliza L0phtCrack es el llamado "hibrido" que lo que
hace es a las palabras que encuentra en el diccionario agregarles letras
o simbolos, por ejemplo hay gente que pone su nombre con simbolos al
final o intermedio, Juan$$Perez o JuanPerez!!.
El tercer y ultimo metodo que utiliza el L0phtCrack es el de Fuerza Bruta
que ya todos saben como funciona, este es el metodo mas seguro y descifra
la clave sin ninguna duda, solo es cuestion de tiempo...
PWDUMP2.
--------
El PWDUMP2 es un programa gratuito escrito por Todd Sabin y lo podemos
encontrar en http://www.webspan.net/~tas/pwdump2/. Para una mayor
descripcion de como conseguir los passwords hashes para usarlos con esta
utilidad ver en la pagina web de esta utilidad.
Cabe acotar que el uso de PWDUMP2 en conjunto con L0phtCrack es una
excelente arma, para realizar auditorias por supuesto...
Hasta la proxima
