На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Захват незашифрованных паролей из кэш-памяти LSA

Имея доступ в систему Windows с привилегиями администратора, можно получить неза­шифрованные пароли. И для этого уже разработано целое множество способов. Такой способ получения данных из кэша LSA известен еще для систем Windows NT 4.0, и он актуален и для Windows Server 2003.

Получение из памяти паролей, хранящихся в базах # данных SAM и Active Directory (AD)
Получение паролей из реестра может оказаться довольно простой задачей. Конечно, в Win­dows 2003 эта задача не настолько проста, так как базы данных Security Accounts Manager ( SAM) и Active Directory (AD) по умолчанию защищены с помощью функции syskey. Это значит, что имена пользователей и пароли в системе шифруются 128-битовым ключом, поэтому просто взломать их нельзя. Но это не проблема, — можно получить хешированные пароли, воспользо­вавшись обновленной утилитой pwdump2 от Тодда Сабина (Todd Sabin), ссылка на нее дана в разделе "Дополнительная литература и ссылки".
Программа pwdump2 использует метод внедрения динамической библиотеки (Dynamically Loadable Library injection). Данный метод состоит в том, что один процесс заставляет другой процесс загрузить код дополнительной библиотеки DLL, а затем выполнить его в контексте пользователя и в адресном пространстве этого процесса.
Чтобы воспользоваться программой pwdump2, просто скопируйте на удаленную систему два файла (pwdump2 .exe и samdump.dll).
С:\>сору pwdump2 . exe \\10.1.1.5\cS С:\>сору samdujiTJ.dll \\10.1.1. 5\с$
Затем интерактивно запустите программу pwdump2 . exe на удаленной системе.
Remote C:\>pwdump2
Administrator:500:a962ae9062945S22aad3b43 5b51404ee:ef830b06fc94947d66 8d47abf388d389:::
Guest: 501: a;id3b43 5b51404eeaad3b43 5b514Q4ee:31d6cfe0dl6ae931b7 3c59d7e0c089c0: ;: SUPPORT_388 945a0:1001:aad3b4 3 5b514 0 4eeaad3bS3 5b51404ee:2Bf3 0ebQbcce2 3b95c5blc23c771959f:::
В отличие от предыдущих версий утилиты pwdump2, новая версия программы автомати­чески определяет идентификатор процесса подсистемы локальной безопасности (LSASS) и выполняет внедрение библиотеки. В старой версии требовалось вручную найти процесс LSASS с помощью программы pulist. exe (еще одна утилита из пакета Resource Kit) и ис­пользовать найденный идентификатор процесса в качестве параметра при вызове программы pwdump2.
Новая версия программы pwdump2 называется pwdump3e и поставляется компанией е-busincss technology, Inc, которая предлагает и некоторые модификации утилиты pwdump2 — прежде всего, версию программы, которую можно запускать для взломанной системы уда­ленно (как всегда, требуются привилегии администратора, а также доступ к службам SMB че­рез ТСР-порты 139 или 445). Программа pwdump3e не будет работать локально, ее необходи­мо запускать для удаленной машины. Рассмотрим пример ее использования для сервера под управлением Windows 2003 Enterprise Edition (l).
Листинг 8.1. Получение паролей с помощью pwdump3e
С:\> PwDusnp3e.exe 10.1.1.5
pwdump3e (rev 1) by Phil Staubs, e-business technology,  23 Feb 2001 Copyright 2001 e-business technology. Inc.
Глава 8. Расширение сферы влияния 195


Популярность

7

Простота

7

Опасность

9

Степень риска

8

This program is free software based on pwpump2 by Todd Sabin under the GNU General Public License Version 2  (GNU GPL), you can redistribute it and/or modify it under the terms of the GNU GPL, as published by the Free Software Foundation.  NO WARRANTY,   EXPRESSED OR IMPLIED,   IS GRANTED WITH THIS PROGRAM.   Please see the COPYING file included with this program (also available at www.ebiz-tech.com/pwdump3) and the GNU GPL for further details. Administrator:500:A962AE9062945822AAD3B435B51404EE:EF830B06FC94947D6 68D47ABF388D38S::;
Guest:501;N0 PASSWORD'*■*:*************** :N0 PASSWORD* ******** *"*"****"**::: SL'PPORT„3 88945a0:1001:NO PASSWORD* *****************; 28 F30EB0BCCE23B9 5C5B1C2 3C771959F::: Completed.
Защита от доступа к паролям, хранящимся в базах данных SAM и Active Directory (AD)


Бюллетень

Нет

BID

 

Нет

Исправлено в SP

Нет

Фиксируется

Нет

Когда хакер получил права администратора в системе Windows, очень сложно не дать ему получить из памяти хешированные пароли. Лучше всего никогда не предоставлять злоумыш­леннику возможность получить привилегии администратора.

Взлом паролей
После того как из удаленной системы получены зашифрованные (хешированные) пароли, ха­кер обычно сохраняет их в файле и запускает программу взлома, чтобы получить исходный пароль.
Многие заблуждаются, что взлом пароля — это дешифровка хешированного пароля. Это не так — не существует известных механизмов расшифровки паролей, хешированных с помощью алгоритмов NT/2000/2003. На самом деле взлом пароля — это процесс хеширования известных значений по тому же алгоритму и последующее сравнение результата с хешированными паро­лями, полученными из чужой системы с использованием программы pwdumpx или аналогичной ей. При совпадении двух результатов хеширования пароль считается взломанным. Таким обра­зом, взлом пароля можно рассматривать как несколько усложненный подбор пароля без под­ключения к системе.
Недостатки алгоритма хеширования протокола LM
Процесс взлома пароля можно существенно оптимизировать, если использовать один из ключевых недостатков реализации алгоритма хеширования протокола LAN Manager в систе­мах Windows NT/2000/2003. Как было отмечено в главе 2, "Архитектура системы безопасно­сти Windows Server 2003", в системах Windows NT/2000/2003 хранятся две версии хеширован­ного пароля для учетной записи пользователя;
▼ хешированный пароль LAN Manager (LM);
* хешированный пароль NT LAN Manager (NTLM).
В главе 5, "Атака на службы Windows", было сказано, что первые 8 байтов хешированного пароля LM получают по первым семи символам пароля пользователя, а вторые 8 байтов — по символам пароля с восьмого по четырнадцатый. Каждую цепочку можно атаковать полным перебором всех возможных восьмибайтовых комбинаций. Атака полного сем и сим вольного "пространства символов" (это все возможные комбинации разрешенных символов длиной до семи знаков) очень проста с точки зрения реализации на современном процессоре настоль­ного компьютера. Таким образом, если злоумышленник может узнать хешированный пароль LM, он получает очень хорошую возможность взломать его и узнать исходный пароль.
Далее мы опишем некоторые программные средства, которые позволяют во многом авто­матизировать цикл сравнения результатов хеширования, в частности для хешированных па­ролей LM. Любой "слабый" пароль будет взломан очень быстро.
■ тк у bri-r-i-J-:' ... >.еацп$(№    мгчангар (< .- ^^^^W.-lf**'

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика