|
Windows Administrator salasana
|
|
|
Fiili
Member
1 tuotearvio
|
30. elokuuta 2011 @ 12:48 |
Linkki tähän viestiin
|
|
"Hash-merkkijonot tallentuvat työasemassa järjestelmän config-hakemiston sam- ja system-tiedostoihin. Haittaohjelmat osaavat lukea ne koneestasi verkonkin kautta."
Kun tietyillä ohjelmilla saa Boot-CD:llä poistettua Windowsin Administrator-salasanan, niin saako vanhan salasanan palautettua puukottamalla sam- ja system-tiedostoja, ja palauttamalla niihin NTHASH-tunnisteet alkuperäisestä salasanasta?
|
AfterDawn Addict
5 tuotearviota
|
1. syyskuuta 2011 @ 10:31 |
Linkki tähän viestiin
|
Käsittääkseni tiivisteestä ei saa palautettua lähdettä takaisin ellei se ole jokin tunnettu ts. sanakirjasana tms. Esim. minun järjestelmänvalvojan salasanaani ei saisi takaisin koska se ei sisällä mitään yleistä tavallista sanaa, joten sen tiivistettä ei ole tiedossa yleisesti.
Sitä paitsi, jos salasana kerran on jo vaihdettu, sen tiiviste siellä rekisterissä käsittääkseni on (jos on, en olekaan perehtynyt tähän asiaan, pitäisi kunhan aikaa ilmaantuisi jostain maagisesti...)
|
|
BforeDusk
AfterDawn Addict
|
1. syyskuuta 2011 @ 10:57 |
Linkki tähän viestiin
|
|
Ei tarvita salasanan tuhoojaa. On ohjelmia jotka lukee salasnan kovosta (based on rainbow tables)
Mihin sä tarvit vanhan salasanan haistelua? Jos tiedät nykyisen niin vaihdat.
Vai onko tarkoitus haistella entisen omstajan passu ja yrittää sillä hänen nykyiseen koneeseen?
Osta paskaa, saat 2kk kaupan päälle.
- Zz Topelius -
|
|
Fiili
Member
1 tuotearvio
|
1. syyskuuta 2011 @ 12:45 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti BforeDusk:
Ei tarvita salasanan tuhoojaa. On ohjelmia jotka lukee salasnan kovosta (based on rainbow tables)
Mihin sä tarvit vanhan salasanan haistelua? Jos tiedät nykyisen niin vaihdat.
Vai onko tarkoitus haistella entisen omstajan passu ja yrittää sillä hänen nykyiseen koneeseen?
Ei vaan, jos nyt otan haltuuni koneen Administrator-tilin resetoimalla salasanan, niin voinko ottaa sen vanhan salasanan NTLM HASH:n jostain kirjautumistiedostosta (SAM ym.) talteen ja palauttaa sen takaisin myöhemmin, jolloin koneelle pääsee kirjautumaan taas sillä vanhalla salasanalla?
Eikös WINDOWS/System32/config kansion SAM-tiedostossa olevasta NTLM HASH:ista juuri katsota, kun salasanalla pyrkii sisään? Kun palauttaa siis alkuperäisen NTLM HASH:in takaisin SAM:iin, niin oikea salasana vastaa sitä(jota minun ei tarvitse tietää) ja koneelle pääsee taas sisään sillä. Eikö? Tarkistaako Windows jostain muualtakin tuon NTLM HASH:in kuin SAM:ista?
Rainbow tablesit auttaa vain kohtuu heikkoon salasanaan. Kun käytetään kaikkia mahdollisia NTLM HASH:n sallimia merkkejä ja salasana on +15 merkkiä pitkä, niin sateenkaaritaulukoilla ei sisään pääse, ainakaan sellaisilla taulukoilla joita tavis saa netistä ladattua (max. luokkaa 100 GB). Tietenkin jollain NSA:lla koneet raksuttaa yötä päivää 24/7 uusia hasheja salasanoista kirjaten, mutta meillä taviksilla suurimpien rainbow-talukoiden läpikäyty merkkiavaruus on kohtuu pieni. Kuka nyt käyttää alle 15 merkin salasanaa, varsinkaan XP-koneissa?
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 1. syyskuuta 2011 @ 13:05
|
|
morlokki
Suspended due to non-functional email address
|
1. syyskuuta 2011 @ 13:40 |
Linkki tähän viestiin
|
|
Hash-koodattu salasanatiedosto löytyy hakemistosta \winnt\system32\config nimellä SAM. NT lukittaa kyseisen tiedoston siten, että sitä ei voi suoraan lukea kun käyttöjärjestelmä on toiminnassa. Voit lukea tai muuttaa sitä erilaisilla Boottilevyillä, joihin voi ladata halutut työkalut. Kopio SAM-tiedostosta löytyy myös korjauslevykkeeltä (ERD) tai varmuuskopionauhalta (mikäli tällaisia on tehty). Niiltä sen voi lukea suoraan. Myöskin toisesta käyttöjärjestelmästä (DOS, Linux) voi lukea NT:n SAM-tiedoston. Tosin DOS ei osaa suoraan lukea NTFS-tiedostojärjestelmää, mutta tarkoitukseen löytyy apuohjelma NTFSDOS osoitteesta www.sysinternals.com. NT-käynnistyslevykkeillä pääsee myös suoraan lukemaan NTFS-osioita. SAM-tiedoston voi editoida siten että lisää siihen takaisin alkuperäisen talteen otetun Hash-koodin, tai palauttaa varmuuskopioidun alkuperäisen SAM-tiedoston. Järjestelmään pääsee taas kirjautumaan vanhalla Administrator-salasanalla. Suurempi työ on poistaa kaikki salasanan resetoinnin jälkeen syntyneet merkinnät järjestelmästä, tosin tämäkin onnistuu pienellä vaivalla, ja tähän valmiiksi tehdyillä työkaluilla helposti.
|
|
BforeDusk
AfterDawn Addict
|
1. syyskuuta 2011 @ 15:36 |
Linkki tähän viestiin
|
Lainaus:
Ei vaan, jos nyt otan haltuuni koneen Administrator-tilin resetoimalla salasanan, niin voinko ottaa sen vanhan salasanan NTLM HASH:n jostain kirjautumistiedostosta (SAM ym.) talteen ja palauttaa sen takaisin myöhemmin, jolloin koneelle pääsee kirjautumaan taas sillä vanhalla salasanalla?
Haiskahtaa siltä että sulla ei ole tohon koneeseen annettu Adminoikeuksia. Haluat kuitenki sorkkia jotain ja panna takaisin se entisen passun adminille. Ettei sadmin huomaa mitä koneelle on tehty.
Jos on sun oma kone, tai kaverin kone johon on täydet luvat, mutta passu unohtunut. Nollaat sen passun ja syötät uuden, vaikka kuin turvallisen ja pitkän. Koska luvallisessa koneessa sulla ei ole tarvetta palauttaa passua joka joskus oli käytössä (ja jonka nyt oot unohtanut)
Osta paskaa, saat 2kk kaupan päälle.
- Zz Topelius -
|
AfterDawn Addict
5 tuotearviota
|
1. syyskuuta 2011 @ 18:33 |
Linkki tähän viestiin
|
|
Todellakin haiskahtaa koko touhu. Kannattaa kenties harkita muutamaan kertaan ennen kuin ryhtyy hommiin. Tosin emmehän voi tietää mistä on kyse.
Btw. Tässä meikäläisen admin tilin salasanan md4 tiiviste: 28a12dc52cc14cae3361b39bf7972cac
Ei löytyne rainboweista :D Jos joku saa selville alkup. salasanan, niin tarjoan vaikka kahvit :) Mikään mahdoton tehtävähän tuo ei käsittääkseni md4:stä ole (viisaammat korjannevat).
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 1. syyskuuta 2011 @ 18:43
|
|
Mainos
|
|
|
Moderator
|
1. syyskuuta 2011 @ 21:32 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti BforeDusk:
Haiskahtaa siltä että sulla ei ole tohon koneeseen annettu Adminoikeuksia. Haluat kuitenki sorkkia jotain ja panna takaisin se entisen passun adminille. Ettei sadmin huomaa mitä koneelle on tehty.
Jos on sun oma kone, tai kaverin kone johon on täydet luvat, mutta passu unohtunut. Nollaat sen passun ja syötät uuden, vaikka kuin turvallisen ja pitkän. Koska luvallisessa koneessa sulla ei ole tarvetta palauttaa passua joka joskus oli käytössä (ja jonka nyt oot unohtanut)
Lainaus, alkuperäisen viestin kirjoitti yamaneko:
Todellakin haiskahtaa koko touhu. Kannattaa kenties harkita muutamaan kertaan ennen kuin ryhtyy hommiin. Tosin emmehän voi tietää mistä on kyse.
Kyllä haiskahtaa munkin mielestä. Varsinkin tuon alkuperäisen SAM:in palautus. Eli luvattomalta tunkeutumiselta kovasti vaikuttaa. Aloittaja voi laittaa minulle YV:tä jossa selostaa tilanteen mikäli haluaa ketjun auki.
http://www.finlex.fi/fi/laki/ajantasa/1889/18890039001
38 luku, 8 § Tietomurto
EDIT: avattu, kyseessä asian opiskelu/hypoteettinen tilanne.
Säännöt
Ubuntu is an African word meaning "I cant configure Debian"
Kun raportoit tuplaketjua, laita ketjun URL mukaan raporttiin, helpottaa elämää. :)
"Poliisilla on asiakas oikeassa ja pamppu vasemmassa."
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 2. syyskuuta 2011 @ 14:24
|
