Knäcka PIN-kod till Windows

Jag har fått "äran" att hacka mig in i en avlägsen död släktings laptop som när den bootar vill ha den PIN-kod Windows ber om. Alla försök att gissa misslyckas, och då Windows håller koll på antalet försök så hamnar man tillslut på "Detta inloggningsalternativ är inaktiverat på grund av misslyckade inloggningsförsök..." och då måste datorn stå igång "minst 2 timmar..." innan man kan försöka igen. Det går alltså inte att mata x-antal PIN-koder en timme/dag.

Jag har även plockat ut den NVMe-disk som sitter i och satt den i min dator för att bara kunna se vad som finns där. Men då visar det sig att disken är krypterad bit BitLocker och vill nu ha återställnings koden på 48 siffror/bokstäver...

NVMe-disken är nu tillbaks i laptopen och jag har testat att boota med ett program som skulle klara detta, men självklart hittade inte det programmet NVMe-disken då den är krypterad. Jag såg ett tips här där jag testade PCUnlocker men när jag gjort en bootbar USB-sticka med deras ISO2Disc så hittar laptopen den inte, varken legacy eller UEFI. (Datorn hitta tex en USB med Win 11, USB-porten är hel.)

Personen som hade datorn skulle strax fylla 80 år och är helt borta när det gäller datorer, så att den personen själv kickat igång BitLocker på laptopen är väldigt osannolik. Någon vän måste ha hjälpt till med det. Ingen visste dock vilka vänner han hade, så det finns ingen att fråga...

Så, är det någon som vet hur man antingen knäcker PIN-koden eller hur man knäcker en NVMe-disk som är krypterad med BitLocker?

Laptopen är en Lenovo, IdeaPad3, 14iTL6.

Finns säkert en massa olika lösningar som även kanske är gratis men jag rekommenderar KonBoot som förvisso kostar lite pengar men skryter å andra sidan om att det går att låsa upp lokala- såväl som online-konton.

Har alltid fungerat för mig på de Win10-burkar jag behövt låsa upp åt allt möjligt löst folk i min närhet.

Du behöver inte hacka dig in. Du kan antingen radera lösenordet så det blir tomt eller så kan du helt enkelt läsa svarten på frågorna direkt via liveusb om du har har möjligtheten till att boota en valfri linux sticka?

Nu kommer säkert många tro jag svammlar igen men som alltid, tvärtom. Det är enklare att "hacka" sig in i dessa typen av konton än vad det är att sno godis från en unge på julafton.

Se här: https://twitter.com/wuseman1/status/1275608390098714624/photo/1

Personen var inloggad med en mail addres samt har aktiverat pinkod? Det är inte ett offline konto + pinkod eller? Isåfall är det inte svårare men en annan väg att gå.

För att hantera Bitlocker på en Linux sticka så behöver du dislocker. Varför undrar du hur man knäcker pinkoden förresten om den är krypterad? Så långt kommer du väl inte ens så det blir aktuellt?

Jag behöver veta vad som när du skriver:


Du kan bara FET glömma att ta ut disken och mounta/läsa disken det är dislocker, alltså. Den är låst till lenovons efi
chip och går ENBART att låsa upp på samma enhet, det är dislocker skydd på det. Disken har trolgitvis blviit FROZEN efter att du gjorde detta det får vi reda på om du skri ver det ovan.

TROLIGTVIS, kan du slänga den nvme disken om den är frozed. För att låsa upp en disk som är frozen så måste du använda hdparm, men är user+master. Är den INTE låstr med dislocker så kan du troligtvis köra en secure erase.Om disken inte dyker upp i dmesg heller, så är det som sagt kört.

Men om den bara är låst med bitlocker, så är det inte kört. Men så som du beskriver låter det så.

Se här: https://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs/(offset)/3

Ta varningarna på allvar om du provar. Ingen behöve aktivera bitlocker, den kom med med all sännoilikhet så från fabrik.

// wuseman

Kan du inte boota in i safe mode, logga in som admin och sen nollställa lösenordet därifrån? Aldrig provat det med BitLocker med TPM men är ju värt ett försök.

Nej, det går aldrig.

Ah, ja då är det bara att ge upp när det gäller att komma in i datorn.

Ja, så är det.

Hoppas inte Lenovo använder hw kryptering som default på deras laptop jag har inte haft en Lenovo sedan W541 2015 så är inte uppdaterad riktigt men om dom inte gör det, så går det i alla fall att använda disken genom att ominstallera windows men om den är hw krypterad så går inte ens det men om TS kommer till recovery menyn så tror jag den bara är låst med TPM+Bitlocker och det innebär helt enkelt att disken behöver låsas upp på samma dator som den krypterades, det är väl lite grejjen med TPM bl.a fast nu har dom undantag för sina egna modeller såg jag Lenovo men så är det inte normalt.

Lenovo kallar det FDE inte drivelock(HP/Dell använder det), det är samma sak dock: https://support.lenovo.com/se/en/solutions/ht002240-full-disk-encryption-hard-disk-drive-frequently-asked-questions

Det går faktiskt att byta hårddisken till en annan thinkpad står det, men ingen annan dator kan mounta/läsa disken.

Kommer du in i BIOS genom att trycka F2(?) förresten TS?

Är det Recovery Keyn på 48 tecken du menar med Pin Koden?

Men visst går det atrt cracka Bitlocker nyckel har själv lyckats med detta, eller cracka/knäcka gör man inte man "sniffar" upp nyckeln. Eftersom att du frågar hur man gör och om det går så får jag förklara hur med för att inte framstå som en clown, jag gör det lite på svengelska har aldrig skrivit på svenska när det gäller sånt här så märk inte ord ^^

Praktiska Saker som behövs

Dslogic Plus Logic Analyzer 5 gånger Saleae16 bandbredd upp till
- Finns nog bililigare på amazon där köper jag själv alla dessa verktyg för att läsa firmware/chip

- Du behöver verktyget DSView: https://github.com/DreamSourceLab/DSView

- Nödvändigft och bra att ha, sigkrok dokumentation utskriven: https://sigrok.org/wiki/Main_Page

Själva konstruktioner ser ut såhär:


Den här arkitekturen tillåter ett enkelt sätt att nycklara om systemet om något av skydden komprometteras, eftersom endast en ny VMK behöver genereras och FVEK:n omkrypteras med den nya VMK. Denna mekanism eliminerar kravet att omkryptera hela volymen.

Trusted Platform Module är en kryptografisk samprocessor som implementerar en fördefinierad uppsättning kryptografiska operationer, säker nyckellagring och en uppsättning plattformskonfigurationsregister (PCR). TPM är ett av de vanligaste skydden för BitLocker och även strandard för nästan alla laptops tillverkare, jag vet ingen som inte har det som default.

En av de viktigaste fördelarna med TPM är möjligheten att släppa en del av en hemlighet efter att plattformens integritet har verifierats. Denna verifiering uppnås genom att mäta varje steg i en startprocess och lagra mätningarna i PCR. Hemligheten kan låsas till de specifika PCR-värdena, och den kunde bara släppas om det aktuella tillståndet för PCR matchar dessa ursprungliga värden. BitLocker använder TPM för att försegla VMK, och nyckeln kan endast öppnas om startprocessen inte har manipulerats.

Vanligtvis är TPM-chippet en diskret modul på moderkortet, och CPU kommunicerar med TPM-chippet via Platform Controller Hub (PCH) eller en sydbrygga. TPM-specifikationen beskriver de tre olika kommunikationsgränssnitten: LPC, SPI och I2C. Dessutom är de två olika IC-pakettyperna tillåtna för TPM, som är TSSOP-28 (till vänster) och QFN-32. QFN-32-paketet gör sniff mer komplicerad eftersom det är svårare att få fysisk kontakt med dess stift.

Sniffa SPI(CHIP) (Infineon = TPM 2.0):

Serial Peripheral Interface (SPI) är ett synkront seriellt kommunikationsprotokoll som stöder full-duplex-kommunikation med höghastighetsklockfrekvenser. Den använder master-slav-arkitektur, där masterenheten alltid initierar kommunikationen. SPI-bussen består av fyra ledningar, dessa har du säkert sätt någon gång om du pillat med reverse engineering tidigare eller håll på med elektronik i gymnasiet eller något liknande, inte vet jag där pilla jag iaf mkt med just chip/ nano teknik iaf:


Så, en logisk analysator som kan fånga fyra signaler samtidigt krävs för att sniffa bussen. Den lägsta samplingshastigheten beror på hastigheten som används i bussen. TPM-standarden definierar att TPM-chippet med SPI-gränssnitt ska stödja klockfrekvensområdet 10-24 MHz. Men standarden säger också att snabbare klockfrekvenser skulle kunna stödjas. Tänk på att vi bör använda minst fyra gånger snabbare samplingshastighet än den använda klockhastigheten på bussen.

Som beskrivits ovan är formfaktorn för TPM-chippet antingen TSSOP-28 eller QFN-32, och båda är små paket. TSSOP-paketet skulle kunna sonderas med några högkvalitativa sonder. QFN-paketet kräver dock lödning av ledningar till IC eftersom det inte har några ben. Dessutom innehåller moderkort vanligtvis testpunkter eller felsökningsportar anslutna till TPM-databussen, som också kan användas för att sniffa kommunikation. Det vore en fördel om snisattacken kunde utföras snabbt och utan specialverktyg.

Den bärbara datorn behöver vanligtvis demonteras för att komma åt TPM-chippet, vilket inte är särskilt praktiskt. En UEFI-firmware lagras dock ofta i ett SPI-baserat flashchip, som vanligtvis har ett SOIC-8-paket. Denna typ av förpackning kan hakas mycket enkelt med vanliga sonder. Eftersom flera enheter kan anslutas till samma SPI-buss delar flash-chippet och TPM-chippet sannolikt samma buss. Dessutom är flash-chippet vanligtvis tillgängligt endast genom att ta bort ett bakstycke eller ett tangentbord, och därför är flash-chippet ett perfekt mål för att sniffa kommunikationen i SPI-bussen. Denna taktik eliminerar behovet av lödning, och attacken kan utföras inom rimlig tid.

Uhm, det vore bra om du visste exakt vilket chip det var, för att läsa av chip text m.m använder jag själv ett usb mikroscop dom är billiga, finns här med snabb frakt: https://www.prylstaden.se/digitalt-usb-mikroskop-40x-1000x-forstoring-2592x1944-8-st-led-30fps-justerbar-fokus-metallstativ

Dock får du dom för mer än halva priset OCH 1600x zoom på amazon, dock längre frakt men har du bara lite talang för att ta kort med luren och inte en för gammal lur så funkar dom lika bra numera:

https://github.com/wuseman/HP_Device_and_Bios-Hacking scrolla till bios chip för att se samples med ett sådant mikroskop:



.. Sen kommer anslutningen till chippet men du får köpa hem grejjerna först isåfall.

Detta går INTE om enheten är skydad med:


För artt göra det så måste man göra följande som jag visar här: https://github.com/wuseman/bitlocker så om gubben inte kan någoit och är 80 bast så är det nog inte satt med tpm key.

Du behöver även dislocker för att mounta disken senare men det kan vi ta då.

Men ja, "pinkod" är inte bara en pinkod, i windows, bitlocker, bios? Spelar stor roll.

Jag gjorde det på en Dell Optiplex men det är samma sak på din Lenovo: https://github.com/wuseman/personal/tree/main/some_of_my_devices/dell_optiplex_7040m

Här har du lite länkar jag samlade ihop(ja, jag dokumenterar allt jag gör typ)

[quote]
[0] Tomi Tuominen & Timo Hirvonen - All your encrypted computer are belong to us
https://www.youtube.com/watch?v=NdVpwS5e6Cg

[1] Adam Pilkey - The Chilling Reality of Cold Boot Attacks
https://blog.f-secure.com/cold-boot-attacks/

[2] Denis Andzakovic - Extracting BitLocker keys from a TPM
https://pulsesecurity.co.nz/articles/TPM-sniffing

[3] Jean-Christophe Delaunay - Practical DMA attack on Windows 10
https://www.synacktiv.com/en/publications/practical-dma-attack-on-windows-10.html

[4] Microsoft - Ten Immutable Laws Of Security (Version 2.0)
https://docs.microsoft.com/fi-fi/archive/blogs/rhalbheer/ten-immutable-laws-of-security-version-2-0

[5] Jereymy Boone - TPM Genie
https://www.nccgroup.com/us/our-research/tpm-genie/

[6] Microsoft - BitLocker Drive Encryption Technical Overview
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc732774(v=ws.10)

[7] Infineon - SLB 9665
https://www.infineon.com/cms/en/product/security-smart-card-solutions/optiga-embedded-security-solutions/optiga-tpm/slb-9665tt2.0/

[8] Infineon - SLB9670
https://www.infineon.com/cms/en/product/security-smart-card-solutions/optiga-embedded-security-solutions/optiga-tpm/slb-9670vq2.0/

[9] TCG PC Client Platform TPM Profile Specification for TPM 2.0
https://trustedcomputinggroup.org/wp-content/uploads/PC-Client-Specific-Platform-TPM-Profile-for-TPM-2p0-v1p05p_r14_pub.pdf

[10] libyal - BitLocker Drive Encryption (BDE) format specification
https://github.com/libyal/libbde/blob/main/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.as ciidoc

Det är möjligt, under VISSA omständigheter som sagt.

Ja, jag kommer in i BIOS och kan även ändra inställningar där. Inget lösenord behövs. Jag kan även boota från USB med F12.

Nej. När jag startar datorn kommer man till Windows inloggningsskärm där man numer kan ha en PIN-kod istället för lösenord. Den PIN-koden är 4-siffrig.

Den koden med 48 siffror/bokstäver är den recovery key som BitLocker ville ha när jag satte in disken i min egen dator och startade BitLocker.

(Bild från Microsoft ang PIN-kod: https://docs.microsoft.com/en-us/answers/storage/attachments/157715-win11-login-screen-1.jpg )

Jag trodde inte att diskar kom krypterade från vissa datortillverkare, jag trodde att det var något man som användare alltid aktivt var tvungen att aktivera. Men det förklarar ju lite hur disken blev krypterad till att börja med.

Jag skall kolla igenom dom tips som kommit in i tråden imorgon. Jag måste också ta ställning till hur mycket jobb man skall lägga ner när dom ändå inte tror så stenhårt på att det är så mycket man kommer att hitta där.

Ok, jo så är det numera inte alltid men nästan i alla fall och speciellt på lite med exklusivare laptops som din lenovo, eller dell latitude, eller hp elitebook eller asus zenbook m.fl

Jaaha, okej då förstår jag då behöver du inte tänka på allt det jag skrev innan jag trodde det var på denna datorn du var tvungen att skriva in nyckeln. Nu är jag med. Den är helt enkelt krypterad med bitlocker som default från leverans där TPM är aktiverat som default också. Så nu blev det mycket lättare, bara du använder den datorn så får du nog göra vad du vill med hårddisken dnen är bara "skyddad/krypterad" låst när den använder justr den dator som har aktiverat bitlocker med tpm (default)

Kan du boota den lapotopen med en Linux Sticka och hitta hårddisken? Nu skriver jag lite i förväg men är helt övertygad om att du kan det så se nedan:

Använd Ubuntu eller Kubuntu för detta ändamål för att dom har "shim bypass" som default i bootloadern dvs, du kan kringå secureboot då det med all sannolikhet är satt i bios och det är redan färdig confat på just deras dist vet jag, du trycker bara på "enroll key" när en stor blå ruta dyker upp och sedan bara "continue boot", har det också på min git exakt såhär trolgitvis, jag gissar en del nu men är rätt säker på att detta är aktuellt, tryck bara enter och enter så är du i vanliga grub menu:

1. https://user-images.githubusercontent.com/26827453/174450638-f1f15251-a47f-4cf1-8a04-ee5714dd6358.jpg
2. https://user-images.githubusercontent.com/26827453/174450642-3b4397de-f6de-4074-9945-04bcc63c0029.jpg

När liveusb bootat upp och du är ready to go, mounta disken:


Hämta SAM filen, den finns i C:\Windows\System32\config\SAM men nu har du den här från stickan: /mnt/windows/Wndows/system32/config/SAM

Gör en backup av den, innan du börjar använda olika vekrtyg om du provar något från google te.x då vill du ha originalet kvar om det går åt skogen.

Vill du bara komma in som Administratör eller vill faktiskt knäcka pinkoden av någon anledning?

Du kan ta bort pinkoden/lösenordet med chntpw, på detta viset:

- List användare:

- Skriv nedan så kommer en meny upp, väl "remove password"

- Avmonteraa disken, starta om och logga in med "Adminstrator" eller I Administratror eller vad den hette användaren. klart.





-- Summering Allt i ett från en linux sticka., använd kubuntu eller ubuntu som sagt för att kringå secureboot authentication vid boot.

När du bootat, öppna terminalen och skriv nedan (trolgitvis är det nvme0np3 men ändra vid behov, lsblk visar dig info om det, vet inte om du kan allt detta kanske men skriver med det iaf om någon annan kanske vill göra samma sak i framtiden:

Exempel :


Med all sannolikhet använder Windows partition 4 eller 5 men ta den bara den största oartition när du mountar så är det trolgitvis C: partitionen:

Summering, copy-> paste går fint om du bara sätter rätt disk i kommandona nedan Notis: Användaren kommer inte dyka upp som "IT Admin" i chntpw listan då det är ett icke godkänt namn så du får kolla vad den säger i output, men följ nedan så fattar du du har ju koll på grejjerna det var jag som missuppfatta tidigare:


Det ovan är anpassat för just dig, du kan inte använda källan(deras egna dist dom erbjuder användare att ladda ner med enbartr chntpw installerat men det är sak samma, går lika bra valfri dist + chntpw installerat) från chntpw utvecklarna (gentoo guys, what else) för att du har med all sannoilikhet secureboot ENABLE så därför kör med Ubuntu/Kubuntu liveusb (det är nästan alltid att föredra om man skall göra något då allting oftast fungerar bäst med just dessa två som default). Men för en inblick, du kommer in på bild 4 istället bara md ovan metod:

http://www.chntpw.com/guide/

Lycka till! Gör du exakt så som ovan så kommer det lösa sig, hoppas det inte blev för rörigt annars fråga bara.

Bonus: Visste du att Windows har använt sig av SAM filen sedan Windows XP. Det är få som tror på det men så är det för att skydda konton med hjälp av inloggning. Dom borde satsa lite mer här tycker man men det är som det är.



Sam = Security Accounts Manager

Vill du se det som jag visade på Twitter i förra inlägget så kan du inte det, SAM filen kan inte användas/kopieras/läsas/raderas eller någonting medans Windows är igång. Så hur fan gör man? Det har några frågat men jag har aldrig svaret men använd: X-Ways Forensics och du hittar pin-koden/svaren på dom "hemliga" frågorna OM det användes ett offline konto på den versionen som jag skrev i twitte rinlägget men det kanske dom har fixat idag men det tror jag aldrig dom har, inget har hänt sen win xp på denna fronten

Illa? Ja, men det är som det är. Nu har jag gjort mitt bästa, hoppas du lyckas annars har jag misslyckats också med att förklara. (Det är lite svårt med tidspressen och göra det på svenska just för sådana här saker tycker jag på flashback:P - Nåja, fått med allt sen får mods gärna rätt felstavningar som jag slarvar med ibland för tidspressen tillåter mig inte)

Edit: Bitlocker är enable som default enligt nedan.


Ahh, vill du stänga av bitlocker helt och hållet så gör du det antingen genom att gå in i bitlocker menyn men den får du hitta själv för det har jag ingen koll på ELLER skriv bara nedan i powershell efter du loggat in med det tomma lösenordet:


https://docs.microsoft.com/en-us/powershell/module/bitlocker/disable-bitlocker?view=windowsserver2022-ps

Rensa/ Ta över TPM, om du inte är tpm owner:

Först, rensa:

Nu, ta över ownership:


Spara nyckeln/token för framtida rensningar/ändringar i TPM.

Länkar att komma ihåg:

https://docs.microsoft.com/en-us/powershell/module/trustedplatformmodule/?view=windowsserver2022-ps
https://www.manageengine.com/products/os-deployer/help/how-to-disable-bitlocker-encryption.html
https://github.com/ParrotSec/mimikatz < Waponized !!!!!!!!

Win Bruteforcer, jobbigt och segt och gammalt MEN bra om du verkligen vill komma "veta" pinkoden på det vanliga sättet som dom flesta använder sig av, jag föredrar min udda metod men winhex är svindyrt dock:

https://github.com/DarkCoderSc/win-brute-logon
https://docs.microsoft.com/en-us/powershell/module/trustedplatformmodule/?view=windowsserver2022-ps
Väldigt väldigt bra info om hur en hårddisk kan vara "låst/fryst" men det är rent av omöjligt att göra något åt saken eller veta om det ens om man inte sattt det själv och är medveten om att dfet är ett lösen satt drivelock (bedragen kommer se det som input/output error = trasig))

https://tinyapps.org/docs/wipe_drives_hdparm.html

The boss: http://rtr.ca , Mark Lord.

Såg att hdparm Mark Lord vet några riktigt bra osicilliskåp som skulle kunna användas när du "sniffar/crackar" bitlocker nyckeln under vissa omständigheter: http://rtr.ca/welec_w2022a/ - Väldigt bra tips tycker jag och för vettiga priser så man behöver inte lägga ut flera tusen på alla des nya modernare verktyg, dom gör helt enkelt samma sak.

Fan vad enkelt det är _egentligen_. Det är samma sak som det var när det kom bara att det är mer avancerat med olika metoder men principen är The above mentioned technique only works on systems without TPM-chip. The NGC Crypto Provider will no longer be “Microsoft Software Key Storage Provider” but rather “Microsoft Platform Crypto Provider”. The file `15.dat` will not be present.
As a reminder, in order to install Windows 11, a TPM-chip is mandatory. However, this requirement can be bypassed using an officially documented technique. (https://support.microsoft.com/en-us/wind...e77ac7c70e)den exakt samma bara man vet exakt vad man skall leta efter.. Binäratal och en SInus och Cosinus kurvor är allt man behöver i princip och veta vad man söker så finner man det, hade jag inte sökt efter just mina svar i den filen med alla binär kod så hade jag aldrig funnit det det som jag fann i plaintext.

Hade du sökt på: "crack sam" på google, så hade du fått 39 300 000 tips :https://www.computersecuritystudent.com/SECURITY_TOOLS/PASSWORD_CRACKING/lesson2/index.html

ELLER för bitlocker, något mer begränsat såklart då det inte räcker att kunna hantera en dator:

"sniff tpm"

Ovan ger fantastiska svar på andra som gjort samma sak och massa tutorrials har du nu så det går inte misslyckas typ, men är verkligen inte enkelt om man inte vet eller har gjort det själv. Söker jag på "crack bitlocker" så dyker det upp en jävla massa noobs bara som påstår sig veta allt om någonting dom inte vet någonting om.

Hashcat + Sam är bra också om du faktiskt vill veta just pinkoden av någon anledning och inte bara komma in:

https://blog.invid.eu/2021/01/11/how-to-export-crack-sam-database-with-internal-windows-tools-if-you-do-not-have-access-to-mimikatz-h ashdump-metasploit-as-a-bonus-we-also-look-at-cached-domain-hashes-linux4hackers-hashcat-l/

btw, det som GleefulGoshawk61 skrev är inte alls dumt, det var ju så man "hackade" Administratörens konto på Windows XP tiden så det funkar kanske på Windows 10 också, dock inte om den är krypterad på "rätt" sätt men nu var den ju inte krypterad med startupkey på just din dator så jag är lite osäker på vad som händer om man försöker sig pådisken om man inte bootar upp den, men troligtvis är den locked men vem vet. prova hens metod också då jag som sagt trodde det var kryptering vid boot, det är knappast troligt men den kanske funkar, tar ju inte värst lång tid att prova.


// wuseman

Efter som du kan boota upp via USB så skapa en HirensBootCD-pinne.

Via HirensBootCD kan man ändra/ta bort Windowslösenord/pin så länge det är lokalt skapat konto - är det där emot ett online-konto så går det inte joxa med lösenordet/pinkoden.

Och hur har du tänkt att det skall fungera när disken är krypterad??