Повышаем привилегии до системных с помощью сплоита KiTrap0d, а также вытягиваем пароль админа с помощью PWdump и L0phtCrack.
Итак, изложу суть дела. Представим очень знакомую ситуацию (для студентов и секретарш ): администраторская учетная запись заблокирована от кривых рук паролем, а мы находимся в обычной (гостевой) учетной записи. Не зная пароля или не имея прав администратора, мы не можем шариться на рабочем столе админа (типа «C:\Users\admin» — Отказано в доступе), не можем изменять папки Program Files и Windows … — а нам очень нужно! Что делать?
В начале 2010 года хакером T. Ormandy была опубликована 0-day уязвимость, позволяющая повысить привилегии в любой версии Windows. Этот сплоит получил название KiTrap0d и в нынешних базах антивирусов занесен в раздел типа Win32.HackTool («хакерский инструмент» ).
Описание уязвимости из первых уст вы можете почитать по адресу: http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Итак, отключаем антивирус (ну, вы же мне доверяете! ). Далее скачивам сплоит из моих документов по адресу https://www.box.net/shared/1hjy8x6ry3 (пароль nagits — чтобы антивирус не ругался) или поищите на сайте http://exploit-db.com по имени Tavis Ormandy. Скомпилированный сплоит состоит из 2 файлов: библиотека vdmexploit.dll и исполняемый vdmallowed.exe. По щелчку на exe-шнике запускается сплоит и открывается командная строка cmd.exe с системными привилегиями NT AUTHORITY\SYSTEM!
А теперь, как говорится, флаг вам в руки! Обладая такими правами, можно скопировать нужные вам файлы, узнать ценную информацию…
…, но все таки будет гораздо полезнее узнать пароль админа.
Пароли учетных записей в Windows хранятся в виде хешей в специальных ветвях реестра HKLM\SAM и HKLM\SECURITY и доступ к ним закрыт даже администраторам. Соответствующие файлы базы данных Security Account Manager находятся в папке %SystemRoot%\system32\config в файлах SAM и SYSTEM, но скопировать их просто так также не получится, впрочем, об этом чуть позже. Поэтому так важно, что мы получаем именно системные права.
Я расскажу о двух подходах получения заведомого пароля. Один касается, как вы наверное поняли, реестра — дамп паролей. Второй подход, как советует капитан очевидность, заключается в получении файла SAM.
Пользоваться будем достаточно известной утилитой pwdump, которую вы можете скачать из Моих документов по адресу https://www.box.net/shared/9k7ab4un69 (пароль nagits). Переключаемся в командную строку cmd.exe с системными правами и запускаем pwdump.
По команде
C:\pwdump.exe localhost > C:\pass_dump.txtутилита сбросит дамп паролей в файл.
Например, pass_dump.txt может выглядеть так:
No history available Uzver:1001:NO PASSWORD*********************:NO PASSWORD*********************::: VirtualNagits:1000:NO PASSWORD*********************:32ED87BDB5FDC5E9CBA88547376818D4::: Completed.
Видно, что Uzver — обычный пользователь, не защищен паролем, а VirtualNagits — администратор, и приведен хеш его пароля.
Я для примера буду пользоваться программой l0phtcrack. Скачать шароварную можете по адресу www.l0phtcrack.com/ .
Начиная с Windows NT 3.1 (27 июля 1993) пароли хранятся в т.н. NTLM-хеше. К сожалению, программа l0phtcrack согласится атаковать NTLM-хеши только после регистрации\покупки программного продукта. Кстати установку необходимо запускать с правами администратора — как минимум. Поэтому установочный файл запускаем из под cmd.exe с правами System.
Итак, у меня есть установленная и зарегистрированная l0phtcrack v5.04 и pass_dump.txt:
В программе l0phtcrack давим на кнопку Import:
Выбираем импорт из файла PWDUMP (From PWDUMP file), указываем наш pass_dump.txt.
Теперь необходимо в опциях отметить взлом NTLM паролей:
Подтверждаем выбор нажатием OK и нажимаем Begin Audit .
Есть! Хитроумный пароль «123456» администратора получен!
Вообще, скопировать файл SAM из С:\windows\system32\config\ нельзя даже под правами SYSTEM, поскольку они «заняты другим приложением». Диспетчер задач не поможет, поскольку если вы даже и найдете виновный, отвечающий за Security Account Manager процесс, завершить вы его не в силах, поскольку он системный. В основном все их копируют с помощью загрузочного диска, в таком случае нам даже и не нужны права администратора. Но зачастую в руках нет LiveCD…
Это очень хорошо описано на сайте
Забыл пароль на вход в Windows XP? Что ж, бывает. Для восстановления или сброса пользовательского пароля входа в систему есть немало средств, но получить к ним доступ можно только загрузившись с внешнего носителя. Есть две основных методики:
Первый вариант не всегда быстр и удобен, да и не так эффективен. К нему стоит прибегать только тогда, когда нужно узнать пароль, не меняя его. Например, если учетная запись, под которой вы входите — не ваша. Во всех остальных случаях смысла сохранять пароль нет, проще и быстрее сбросить и назначить новый.
Где Windows XP хранит пароли от учетных записей? Основную часть — в специальном хранилище — базе которая подключается к реестру. Находится она в файле C:Windowssystem32configSAM (без расширения). Просто так вытащить оттуда ни один пароль нельзя, поскольку они хранятся в виде хеш-сумм, то есть зашифрованы. Процесс хеширования необратим, но зная хеш-сумму пароля, его можно вычислить способами, основанными на методе перебора. Сколько времени займет этот процесс — зависит от сложности пароля. Относительно простые — в виде комбинации цифр или известных слов, подбираются быстро. Сложные — цифробуквенные сочетания, иногда таким методом узнать не удается. Вернее, на это может уйти прилично времени.
Как мы сказали, этот метод позволяет узнать пароль, не меняя его. Если у вас хватает времени, можете воспользоваться следующими инструментами:
Условно-бесплатная утилита, в триальном периоде может подбирать только простые пароли на локальном или удаленном компьютере. Поддерживает . Перед началом работы необходимо импортировать в программу хранилище учетных записей.
В Proactive Password Auditor реализовано несколько способов взлома: по разным типам хешей, по словарю, по маске, методом перебора и т. д. Использовать программу просто. Ее интерфейс интуитивно понятен даже неопытному «хакеру». Есть встроенная справка.
Мощный, бесплатный инструмент с русскоязычным интерфейсом. Так же как и предыдущая утилита, работает с базами данных локального или удаленного компьютера (через локальную сеть). Полностью поддерживает Windows XP.
Работает с разными типами хешей и использует три различных техники взлома: перебор, атаку по словарю (вычисление хэшей для каждого слова из словаря и сравнение его с хешем пароля) и гибридную атаку по словарю (при вычислении хешей к словам из словаря добавляются другие символы).
Программа снабжена документацией на русском языке.
Условно бесплатная утилита, в триальной версии также ограниченная по функциональности. Входит в набор программ загрузочного диска для — Alkid Live CD.
Перед началом взлома пароля с помощью SAMinside, в нее необходимо импортировать хранилище учетных записей локальной машины через меню «Файл». Программа может работать с разными типами файлов, в которых хранятся хешированные пароли. Методов взлома также несколько: по словарю, перебором, по маске и по Rainbow-таблицам. Выбор метода осуществляется из меню «Гаечный ключ» или «Аудит».
Управление SAMinside интуитивно понятно. Работа с утилитой проводится в три этапа:
Есть встроенный файл справки.
Узнать пароль не удалось, а войти в Windows XP все же необходимо? В таком случае, забыл — не забыл, остается только сделать сброс старого пароля и установить новый. Для этого тоже есть средства, но можно воспользоваться и обычной командной строкой Windows, которая, по-нашему веленью, будет загружаться перед входом в систему.
Программ для сброса пароля существует гораздо больше, чем для взлома, и все они обладают схожей функциональностью. Их выбор, как говориться, дело вкуса. А мы, поскольку у нас под рукой загрузочный диск Alkid Live CD, воспользуемся тем, что есть на нем.
Одна из таких утилит. Очень проста в управлении, для использования достаточно выбрать свою учетную запись из списка и следовать инструкциям мастера.
Поиск нужных данных производится автоматически. Нажимая «Далее» вам следует лишь убедиться, что вы вошли в систему (папку Windows на жестком диске) и выбрали свою учетную запись. Осталось отметить «Clear this User’s password» и нажать «Apply Changes».
Не менее простое средство, чем предыдущее. Для сброса пароля после старта утилиты выполните вход в Windows XP — нажмите кнопку «Select a target» и перейдите в проводнике к папке Windows на жестком диске.
Следом нажмите кнопку «Renew existing user password» в панели слева. Выберите из списка нужного юзера. Введите новый пароль и повторите его в поле «Confirm Password». Подтвердите ввод. Пароль на вход в Windows будет изменен.
Если у вас есть универсальный диск восстановления Windows XP — ERD Commander 5.0, сбросить парольную защиту на вход в свою учетную запись вы также сможете без труда. Для этого из меню «Start» — «System Tools» выберите инструмент «Locksmith «.
В списке «Account» выберите нужную учетную запись, введите и подтвердите новый пароль.
Для запуска командной строки перед стартом Windows XP нужно выполнить чуть больше действий. Этот вариант подойдет вам тогда, если у вас нет под рукой ничего, кроме другой Windows любой версии, установленной на этот же компьютер, или загрузочного Live CD «Windows Portable Edition». Этот метод, так же как и предыдущие, не позволит вам узнать забытый пароль — вы можете только его изменить.
Загрузившись с Live CD, первое, что нужно сделать, это кое-что изменить в реестре Windows XP — той, где требуется выполнить сброс пароля.
где — аккаунт пользователя (русские символы и слова с пробелами пишутся в кавычках), а — новый пароль.
С помощью учетной записи администратора можно вносить важные изменения в систему: устанавливать программы, настраивать безопасность и подобное. По умолчанию учетки гостя и простого пользователя такими привилегиями не обладают. Чтобы запретить несанкционированный вход и нежелательные изменения, многие защищают учетную запись администратора паролем.
В Windows 7 есть возможность создавать учетки пользователей с правами администратора. Кроме того, в системе по умолчанию существует встроенный администратор, который не отражается в окне приветствия и с его помощью обычно решают какие-нибудь специфичные проблемы. Но, к этой записи пароль не требуется.
Увы, с помощью стандартных средств Windows 7 узнать пароль от учетной записи администратора невозможно. По умолчанию они хранятся в зашифрованных файлах SAM. И если вы забыли пароль, то придется воспользоваться сторонними программами. Но с их помощью можно узнать не слишком сложный пароль, который содержит латинские буквы и цифры. Одна из популярных – это SAMinside. Ее преимущества – это русскоязычный и понятный интерфейс.
Если у вас нет доступа к системе, ход действий такой:
Стоит отметить, что любая программа не дает сто процентного шанса расшифровки. Чем пароль сложнее или длиннее, тем сложнее утилитам справиться с ним. И нередки случаи, когда с их помощью узнать пароль не удается.
Если вы забыли пароль и нет возможности его восстановить, то его можно просто сбросить. Для этого понадобится установочный диск с Windows 7 или установочная флешка. Тип носителя не принципиален и не играет никакой роли. По умолчанию, первым в загрузке стоит жесткий диск, на котором записана система. Поэтому сначала нужно зайти в биос и в порядке запуска устройств переместить установочный диск или флешку на первое место.
Для выполнения сброса вставляем носитель в компьютер и выбираем восстановление системы.
Далее программа начнет поиск установленной Windows и на это может уйти энное количество времени. После поиска нажимаем «Далее» и выбираем в параметрах командную сроку.
В строке нужно написать следующую команду «copy С:\Windows\System32\sethc.exe С:\». По умолчанию диск С – это системный диск, но не у всех пользователей стоит система именно на нем, поэтому вместо С нужно указать именно системный раздел.
Этой командой копируется файл sethc.exe. Именно он выводит окно, которое появляется при пятикратном нажатии клавиши Shift. По умолчанию файл запускает залипание клавиш, но для него можно установить любое другое значение.
Теперь нужно поменять команду для пятикратного нажатия Shift. Нам нужно чтобы она включала не залипание клавиш, а командную строку. Таким образом ее можно будет открыть, когда система попросит ввести пароль.
В открытой командной строке пишем: «copy С:\Windows\System32\cmd.exe С:\Windows\System32\sethc.exe». Если все прошло нормально, то появится такое сообщение:
Закрываем строку и жмем на перезагрузку. Меняем опять в биосе порядок загрузки устройств и опять перезагружаем. После перезагрузки появится стартовый экран, где предлагается ввести пароль от учетной записи. Жмем на Shift пять раз и у нас открывается командная строка, причем с максимальным доступом. В ней пишем «net user User 12345». User нужно заменить на имя пользователя, а 12345 – это новый пароль от учетки.
Закрываем командную строку, вводим новый пароль и спокойно заходим в Windows. По желанию, теперь можно совсем убрать пароль в Панели управления.
Если вы часто забываете пароли, то можно заранее создать дискету сброса. Для этого заходим в Панель управления, нажимаем «Учетные записи пользователей» и выбираем учетку, которой нужно запомнить пароль.
Вставляем устройство в компьютер и указываем к нему путь. Далее программа попросит ввести пароль. После некоторого времени создание дискеты сброса завершится. Теперь главное не потерять накопитель.
Как один из вариантов, можно узнать забытый пароль методом перебора, обычно человек использует две-три комбинации и если вы ищете пароль к своему устройству, то этот способ может сработать.
Еще один способ очень похож на тот, который описан выше. Для него также требуется установочный диск/флешка, но по времени он займет больше времени, потребует вмешательства в реестр и много разных действий. Через командную строку все решается намного проще.
И самый кардинальный способ – это переустановить на компьютере Windows. Пароль вы конечно не узнаете, но получите полный доступ к системе. Правда без сохраненных файлов. После установки системы с нуля, по умолчанию пароль будет отсуствовать.
В этой статье расскажу и покажу, как можно узнать пароль Windows 7, ну или Windows XP (имеется в виду пароль пользователя или администратора). На 8 и 8.1 не проверял, но, думаю, может тоже работать.
Ранее я уже писал о том, как можно , в том числе и без использования сторонних программ, но, согласитесь, в некоторых случаях лучше именно узнать пароль администратора, чем сбросить его. Обновление 2015: также может пригодиться инструкция о том, для локального аккаунта и учетной записи Microsoft.
Ophcrack представляет собой бесплатную утилиту с графическим и текстовым интерфейсом, которая позволяет довольно легко узнать пароли Windows, состоящие из букв и цифр. Скачать ее можно в виде обычной программы для Windows или Linux или же как Live CD, в случае, если отсутствует возможность войти в систему. По заявлению разработчиков, Ophcrack успешно находит 99% паролей. Это мы сейчас и проверим.
Для начала я скачал Ophcrack LiveCD для Windows 7 (для XP на сайте присутствует отдельный ISO), установил пароль asreW3241 (9 символов, буквы и цифры, одна заглавная) и загрузился с образа (все действия проводились в виртуальной машине).
Первое, что мы видим - это главное меню Ophcrack с предложением запустить ее в двух режимах графического интерфейса или же в текстовом режиме. По какой-то причине, графический режим у меня не заработал (думаю, из-за особенностей виртуальной машины, на обычном компьютере все должно быть в порядке). А с текстовым - все в порядке и, наверное, даже удобнее.
После выбора текстового режима, все что остается делать - это дождаться окончания работы Ophcrack и посмотреть, какие пароли программе удалось выявить. У меня это заняло 8 минут, могу предположить, что на обычном ПК это время сократится в 3-4 раза. Результат первого теста: пароль не определен.
Итак, в первом случае узнать пароль Windows 7 не удалось. Попробуем слегка упростить задачу, к тому же, большинство пользователей все-таки используют сравнительно простые пароли. Пробуем такой вариант: remon7 k (7 символов, одна цифра).
Загружаемся с LiveCD, текстовый режим. В этот раз пароль узнать удалось, причем заняло это не более двух минут.
Официальный сайт Ophcrack, на котором можно найти программу и LiveCD:
Если вы используете LiveCD (а это, думаю, лучший вариант), но не знаете как записать ISO образ на флешку или диск, можете воспользоваться поиском по моему сайту, статей на эту тему .
Как видим, Ophcrack все-таки работает, и если перед вами стоит задача определить пароль Windows не сбрасывая его, то этот вариант определенно стоит попробовать: вероятность того, что все получится есть. Какова эта вероятность - 99% или меньше сложно сказать по двум проведенным попыткам, но, думаю, достаточно велика. Пароль из второй попытки не такой уж и простой, и я предполагаю, что сложность паролей у многих пользователей не сильно от него отличается.