[Guide] Snabb och resurssnäll lösenordsknäckning för Windowskonton

Märkte att det allmänt kända och använda sättet för att knäcka lösenorden till konton på Windowsmaskiner, här på flashback, är det mindre smidiga. Starta om till DOS, kopiera SAM, starta om till Windows, kör ordlista eller 'brute force' mot Sam...

Jag har ett sätt som dels är snabbare, dels är väldigt snäll mot din dator (i jämförelse med brute force som tar ungefär 100% CPU-användning), dels ökar möjligheten att du lyckas. Själv kom jag åt Administratör-kontot på den bärbara dator skolan lånar mig, på elva sekunder. Inga omstarter krävdes.

Jag vet inte exakt vilka versioner av windows detta funkar på, själv har jag testat på Windows XP (service pack ska inte spela någon roll). Tror dock att det funkar på alla NT-versioner, och på 9x finns det väldigt enkla sätt så det behöver vi inte gå in på här (googla!). Nå, då kör vi!

• Steg 1 - komma över lm-hashen för målkontot
  
  SAM-filen går inte att komma åt utan att starta om datorn, men man kan komma över lm/ntlm-hashvärdena för kontons lösenord utan omstart.
  
  Dessa program kan göra detta:
  • pwdump
  • Cain & Abel
  • Proactive System Password Recovery
  
  Jag tänker inte gå in på exakt hur man använder dessa program, om du inte kan räkna ut det så läs deras guider/readme/help eller googla för hjälp.
  
  
• Steg två - Knäcka hashvärdet
  
  Nu borde du ha hashvärdet. Det kan se ut t.ex. såhär: 894f019c2caba43b (just denna hash representerar lösenordet ZRV!@#3, som du ser kan man knäcka rätt avancerade lösenord. Själv har jag knäckt t.ex. BZ$4KiFhjHv1NU...). Nu ska vi knäcka hashen med hjälp av sk. 'rainbow tables'. Då dessa tabeller tar många gigabyte i utrymme, ska vi låta andra göra det åt oss. Plain-text.info använder en distribuerad teknik och har sammanlagt ungefär en terabyte tabeller.
  
  Gå in på webbadressen http://plain-text.info/add.php och lägg till din hash. Sök sedan upp din hash på http://plain-text.info/search.php så ser du hur det går med den. Jag rekommenderar att lägga in adressen söksidan tog dig till i Favoriter/Bokmärken i din webbläsare, och titta in lite då och då. Om lösenordet inte är jättesvårt borde det knäckas inom några dagar.

Detta fungerar alltså utan adminrättigheter på datorn man vill ha hashen från antar jag?
Vilket av de tre programmen använde du och i pwdumps fall antar jag att du satt på en annan dator? (Där du redan hade amdin)

Riktigt bra skrivet! Kommer hjälpa många!
Rainbow-tables är nog det bästa inom cracking på länge..

Ska jag vara ärlig vet jag inte riktigt svaret på din första fråga. Själv hade jag adminrättigheter fast var inte Administratör (ändå intressant att knäcka då alla andra datorer har samma lösenord på detta konto), mitt konto är ett domänkonto.

Jag har använt alla tre programmen och ja, pwdump kan sniffa över nätverket (dock har jag aldrig gjort detta själv och vet inte vad som krävs för att det ska fungera).

Tackar :$
Instämmer, att sänka tiden från typ tre år till 20 minuter är verkligen utveckling på crack-fronten. Dock finner jag det lite ironiskt att så många välsignar rt som något otroligt smart. Jag använde själv liknande tekniker i ett perlskript innan jag ens kände till rt. Det är ju en så självklar lösning egentligen.

För de som inte vet hur rainbow tables-systemet fungerar kommer här en förklaring:

När man kör brute force så hittar datorn på lösenord i en viss ordning eller slumpvis, men t.ex. börjar på aaa, sen aab, ... aba, abb... zzz. Och för varje "lösenord" måste den jämföra hashen som ska knäckas med hashvärdet av det aktuella genererade lösenordet.

Ex, pseudokod:
// hea, heb, hec, hed, hee, hef, heg, heh... ->
if ("541c57960bb997942655d14e3b9607f9" == md5("hei")) { fails ...
// nästa är "hej"
if ("541c57960bb997942655d14e3b9607f9" == md5("hej")) { success, rätt lösen

Detta innebär att varje gång ett lösen ska knäckas måste datorn räkna igenom md5-algoritmen miljontals gånger. Och detta tar tid...

Tanken med rainbow tables är att man gör detta EN gång och sparar alla hashvärden i en fil som man sedan komprimerar (för de blir väldigt stora), sedan söker man helt enkelt igenom filen efter den hash man vill knäcka och hoppas att det motsvarande värdet i klartext finns.

Kan redan nu beklaga och säga att jag inte får dina knep att fungera, program 2 och 3 fungerar inte som de ska utan admin-konto redan och program 1 ger mig i alla fall "error 5", vad det nu betyder.

Är inte lm-hasharna i sin tur krypterade med syskey? Knäcker rainbowtables både md5-krypteringen och syskey? eller är jag ute och cyklar?

Rainbow-tables är tabeller med hashvärdena till massor av textvärden. Typ:

Hash = Text
00000 = sdfb44
00001 = fb653w
...
bg54v = vb9jkl
...
zzzzz = lviope

I tabellen ovan kan vi se att om en användare har valt lösenordet "sdfb44" så är hashvärdet "00000". Om du då har hashvärdet "bg54v" leter du upp det i tabellen och hoppas på att det finns och att klartexten därmed står med också (i det här fallet "vb9jkl"). Därmed har du användarens lösenord.

Naturligtvis kan många försvårande omståndigheter tillkomma. Kanske har systemet saltat lösenordet innan det hashades. Är detta bra gjort måste du ta reda på hur saltningen sker.

Men detta hjälper mej inte om jag inte kommer in i windows alls på den datorn jag vill knäcka passet på right?

Skön guid annars

Nej, då får du följa guiden om att kopiera SAM-filen och gå den vägen. Sök!

Jag är inget proffs på detta men jag antar att man kan ta SAM-filen och med den få ut lm-hashen och därmed slippa brute force själv.

Btw, glömde säga en sak om plain-text.info. Man måste skriva hashen i "pwdump"-format och kryssa i pwdump. Man måste också ha nt-hashen som alla dessa program kan visa. Formatet i fråga ser ut såhär:

Användarnamn:Level:lm-hash:nt-hash:::

Användarnamn kan vara nästan vad som helst (t.ex. ditt nick), Level är en siffra t.ex. 500, lm-hash och nt-hash får du från ett av programmen.

Mysko. Är det bara jag som inte kan komma åt den siten? Använder jag min standard DNS hos Glocalnet (Skanova) så hittas inte domänen, men kör jag med valfri HTTP proxy så går det fint. Är det någon som tycker att plain-text.info är barnporr, eller vaddå?