2003-12-02, 18:52
#1
Guide : Hacka administrator kontot på windows NT/2000 nätverk.
Version : 1.02
Av : Wyerd [c] Copywrong 2003, wyerd@hush.com
Eftersom många skolor och företag kör windows NT/2000 tänkte jag att det kanske vore intressant att förklara hur man på ett enkelt sätt kan skaffa sig fullständiga rättigheter, alternativt administrator konto på ett win NT/2000 nätverk.
Men först kort om konton och lösenord i Windowsnätverk:
Lokalt:
Alla konton och deras respektive lösenord på den LOKALA datorn finns på Windows2000 lagrade i filen %SYSTEMROOT%WINNT\system32\config\SAM (vanligen
C:\WINNT\system32\config\SAM) beroende på operativ. SAM filen är låst av windows och för att kunna kopiera/läsa den krävs att man har admin-rättigheter på datorn, eller att man bootar med ett annat operativ som stödjer NTFS (om SAM filen finns på en enhet som använder NTFS) för att på så sätt kunna komma åt och kopiera filen.
I nätverk:
För att komma åt SAM filen i nätverket är det krångligare. Filen man skaffar sig i metoden här ovan gäller ju bara för just den datorn och innehåller inga användarnamn/lösenord för nätverket. För att få tillgång till nätverkets SAM fil krävs att man har admin-rättigheter PÅ NÄTVERKET.
Hur gör man då? Jo, det går faktiskt, på ett relativt enkelt sätt, att skaffa sig tillgång till admin-kontot både på den LOKALA datorn och i DOMÄNEN (på nätverket). Här följer en tutorial jag skrivit som förklarar hur man går till väga. Se även 'källor' längst ner.
Denna tutorial är uppdelad i 2 steg, LOKALT och på DOMÄNEN.
STEG 1:
Det första vi skall göra är att skaffa oss admin-rättigheter på den LOKALA datorn. För att göra detta finns flera sätt. Jag går igenom 2 av dem vanligaste sätten.
Det bästa är att få reda på det exakta admin-lösenordet och logga in med det. Detta lösenord finns som sagt lagrat i filen '%SYSTEMROOT%WINNT\system32\config\SAM'. Lösenordet är (i winNT4 SP3 och senare) krypterat med SYSKEY, vilket gör dem nästan omöjliga att dekryptera och mycket svåra att gissa om användaren valt ett bra lösenord. Det är dock inte säkert att han/hon har gjort det. Därför testar vi först med att låta ett program gissa lösenordet (dictionary check) och om inte det fungerar låter vi samma program testa det krypterade lösenordet mot miljarder möjliga kombinationer av bokstäver och siffror (bruteforce). Detta kan dock ta lång tid, flera dagar, eller till och med flera veckor eller månader om användaren valt ett långt lösenord med både alfanumeriska och ickealfanumeriska tecken, stora och så bokstäver och siffror.
Men vi förlitar oss på användarens dumhet. För att undersöka detta behöver vi alltså SAM filen som ju är låst av windows. Vi bootar därför om datorn med ett annat operatovsystem, t.ex en DOS-bootdisk med NTFSDOS (vad en bootdisk är och hur man använder dem förutsätter jag att du vet. Om du inte kan boota från CD/floppy måste du gå in i BIOS och ställa in att datorn skall prova att boota ifrån annan media innan HD:n. Om BIOSen är låst med pass kan du kolla här :http://www.kamputec.com/bios/biospassword.htm). När vi väl är inne i DOS går vi till katalogen C:\WINNT\system32\config\ (med kommandot: 'cd C:\WINNT\system32\config\') och kopierar därefter SAM filen till disketten (med kommandot: 'copy SAM a:'). Nu har vi datorns SAM fil. För att kunna installera program som försöker knäcka SAM-filens lösenord behövs oftast admin-rättigheter. Tag därför med disketten hem och kör programmen där(eller på någon annan dator där du har admin-rättigheter). Några populära program är 'LC4','John the ripper' och 'Cain and Able'. Installera något av dessa programm och kör det mot filen. Har du tur kan programmet knäcka lösenordet och du kan logga in som administratör. I så fall kan du nu hoppa direkt till STEG 2.
Om programmet inte kunde knäcka lösenordet får vi använda en annan, enklare men inte lika fin, metod. Den går ut på att man (på datorn i nätverket) bootar med en Linux-boot-disk och sedan använder ett program som kan resetta (ta bort, sudda ut, blanka) lösenordet för administratorkontot i windows. Ladda ner IMAGE-filen för bootdisken här: http://home.eunet.no/~pnordahl/ntpasswd/cd030426.zip. Bränn filen med nero (eller ditt favvo prog.) Boota måldatorn med BOOT-skivan och följ följande instruktioner:
Datorn bootar och en massa information bläddrar förbi.
Tryck N när datorn frågar för att strunta is SCSI
Tryck N igen
När datorn laddat klart startas 'chntpw'
Tryck 1 för 'edit passwords'
Alla användare på datorn listas
Välj administrator (tryck enter)
Programmet frågar dig vilket lösen du vill byta till
Skriv * och tryck enter
Programet fågar om du vill radera (eng.'blank') nuvarande lösenord
Tryck Y för ja (eng.'yes'
)
Tryck Y för att spara
Välj sedan Quit (!)
Välj Y till att spara ändringarna
Vänta tills ändringarna är klara och sparade
Tag ut skivan och starta om datorn
STEG 2:
Tryck F8 när datorn startas för att få upp bootmenyn. Välj 'Directory Service Recovery Mode'. Datorn startas nu som en standalone server. Logga in på kontot 'Administrator' med rätt lösen (beroende på vilken metod du använt). Så ja, nu har vi admin-rättigheter på datorn LOKALT. Kör 'regedit' (start->run/kör->regedit). Navigera dig fram till nyckeln: 'HKEY_USERS\.Default\Control Panel\Desktop' och ändra följande värden:
Värde Orginal Ändra till
SCRNSAVE.EXE logon.scr cmd.exe
ScreenSaveTimeout 900 15
Spara ändringar och starta om datorn normalt. Efter att windows startats om och du ombeds trycka CTRL-ALT-DEL för att logga in är det bara att vänta, tryck inte CTRL-ALT-DEL utan vänta på att 'cmd.exe' startas. Efter 15-30 sekunder dyker kommandotolken upp istället för skärmsläckaren. Skriv följande i kommandotolken:
C:\WINNT\system32> MMC DSA.MSC
Nu öppnas en 'management console' där du kan ändra användares och administratörers lösenord(alternativt: skriv 'EXPLORER' i kommandotolken, och navigera dig till start -> Programs -> Administrative Tools -> Active Directory Users and Computers). Byt lösenord på administratörskontot och spara. Skriv EXIT i komandotolken så att du kommer ut till inloggningssessionen igen. Tryck nu CTRL-ALT-DEL och logga in som ADMINISTRATOR i DOMÄNEN på NÄTVERKET! Ha det så kul!
[Tipps] Om du ändrar/raderar lösenordet till ett administratörskonto kommer detta förr eller senare att upptäckas. Det är därför att föredra att man skapar ett nytt konto med fullständiga admin-rättigheter(om det är möjligt) istället för att ta över adminkontot. En möjloghet kan vara att lägga in en bakdörr/trojan/keylogger som ligger kvar och som du kan använda även om ditt intrång upptäcks. Göm den i så fall väl och glom inte att rensa loggar. Använd ditt sunda förnuft.
-------------
Jag hoppas att denna guide varit till hjälp. Förslag, synpunkter, frågor kan skickas till wyerd@hush.com.
Källor: Mycket av informationen är tagen ifrån internet, översatt till svenska och bearbetad. Främst från pnordahl (http://home.eunet.no/~pnordahl/ntpasswd/) som har skrivit programmet vi använder, och från John Simpsons hemsida http://www.jms1.net/) Tack till er båda. Tack även till phreakdenta för BIOS-master-pass.
Disclaimer. Denna text beskriver endast ett säkerhetsproblem. Jag ansvarar INTE för vad ni gör med denna information osv.
Version : 1.02
Av : Wyerd [c] Copywrong 2003, wyerd@hush.com
Eftersom många skolor och företag kör windows NT/2000 tänkte jag att det kanske vore intressant att förklara hur man på ett enkelt sätt kan skaffa sig fullständiga rättigheter, alternativt administrator konto på ett win NT/2000 nätverk.
Men först kort om konton och lösenord i Windowsnätverk:
Lokalt:
Alla konton och deras respektive lösenord på den LOKALA datorn finns på Windows2000 lagrade i filen %SYSTEMROOT%WINNT\system32\config\SAM (vanligen
C:\WINNT\system32\config\SAM) beroende på operativ. SAM filen är låst av windows och för att kunna kopiera/läsa den krävs att man har admin-rättigheter på datorn, eller att man bootar med ett annat operativ som stödjer NTFS (om SAM filen finns på en enhet som använder NTFS) för att på så sätt kunna komma åt och kopiera filen.
I nätverk:
För att komma åt SAM filen i nätverket är det krångligare. Filen man skaffar sig i metoden här ovan gäller ju bara för just den datorn och innehåller inga användarnamn/lösenord för nätverket. För att få tillgång till nätverkets SAM fil krävs att man har admin-rättigheter PÅ NÄTVERKET.
Hur gör man då? Jo, det går faktiskt, på ett relativt enkelt sätt, att skaffa sig tillgång till admin-kontot både på den LOKALA datorn och i DOMÄNEN (på nätverket). Här följer en tutorial jag skrivit som förklarar hur man går till väga. Se även 'källor' längst ner.
Denna tutorial är uppdelad i 2 steg, LOKALT och på DOMÄNEN.
STEG 1:
Det första vi skall göra är att skaffa oss admin-rättigheter på den LOKALA datorn. För att göra detta finns flera sätt. Jag går igenom 2 av dem vanligaste sätten.
Det bästa är att få reda på det exakta admin-lösenordet och logga in med det. Detta lösenord finns som sagt lagrat i filen '%SYSTEMROOT%WINNT\system32\config\SAM'. Lösenordet är (i winNT4 SP3 och senare) krypterat med SYSKEY, vilket gör dem nästan omöjliga att dekryptera och mycket svåra att gissa om användaren valt ett bra lösenord. Det är dock inte säkert att han/hon har gjort det. Därför testar vi först med att låta ett program gissa lösenordet (dictionary check) och om inte det fungerar låter vi samma program testa det krypterade lösenordet mot miljarder möjliga kombinationer av bokstäver och siffror (bruteforce). Detta kan dock ta lång tid, flera dagar, eller till och med flera veckor eller månader om användaren valt ett långt lösenord med både alfanumeriska och ickealfanumeriska tecken, stora och så bokstäver och siffror.
Men vi förlitar oss på användarens dumhet. För att undersöka detta behöver vi alltså SAM filen som ju är låst av windows. Vi bootar därför om datorn med ett annat operatovsystem, t.ex en DOS-bootdisk med NTFSDOS (vad en bootdisk är och hur man använder dem förutsätter jag att du vet. Om du inte kan boota från CD/floppy måste du gå in i BIOS och ställa in att datorn skall prova att boota ifrån annan media innan HD:n. Om BIOSen är låst med pass kan du kolla här :http://www.kamputec.com/bios/biospassword.htm). När vi väl är inne i DOS går vi till katalogen C:\WINNT\system32\config\ (med kommandot: 'cd C:\WINNT\system32\config\') och kopierar därefter SAM filen till disketten (med kommandot: 'copy SAM a:'). Nu har vi datorns SAM fil. För att kunna installera program som försöker knäcka SAM-filens lösenord behövs oftast admin-rättigheter. Tag därför med disketten hem och kör programmen där(eller på någon annan dator där du har admin-rättigheter). Några populära program är 'LC4','John the ripper' och 'Cain and Able'. Installera något av dessa programm och kör det mot filen. Har du tur kan programmet knäcka lösenordet och du kan logga in som administratör. I så fall kan du nu hoppa direkt till STEG 2.
Om programmet inte kunde knäcka lösenordet får vi använda en annan, enklare men inte lika fin, metod. Den går ut på att man (på datorn i nätverket) bootar med en Linux-boot-disk och sedan använder ett program som kan resetta (ta bort, sudda ut, blanka) lösenordet för administratorkontot i windows. Ladda ner IMAGE-filen för bootdisken här: http://home.eunet.no/~pnordahl/ntpasswd/cd030426.zip. Bränn filen med nero (eller ditt favvo prog.) Boota måldatorn med BOOT-skivan och följ följande instruktioner:
Datorn bootar och en massa information bläddrar förbi.
Tryck N när datorn frågar för att strunta is SCSI
Tryck N igen
När datorn laddat klart startas 'chntpw'
Tryck 1 för 'edit passwords'
Alla användare på datorn listas
Välj administrator (tryck enter)
Programmet frågar dig vilket lösen du vill byta till
Skriv * och tryck enter
Programet fågar om du vill radera (eng.'blank') nuvarande lösenord
Tryck Y för ja (eng.'yes'
![Smile](https://static.flashback.org/img/smilies2/smile1.gif)
Tryck Y för att spara
Välj sedan Quit (!)
Välj Y till att spara ändringarna
Vänta tills ändringarna är klara och sparade
Tag ut skivan och starta om datorn
STEG 2:
Tryck F8 när datorn startas för att få upp bootmenyn. Välj 'Directory Service Recovery Mode'. Datorn startas nu som en standalone server. Logga in på kontot 'Administrator' med rätt lösen (beroende på vilken metod du använt). Så ja, nu har vi admin-rättigheter på datorn LOKALT. Kör 'regedit' (start->run/kör->regedit). Navigera dig fram till nyckeln: 'HKEY_USERS\.Default\Control Panel\Desktop' och ändra följande värden:
Värde Orginal Ändra till
SCRNSAVE.EXE logon.scr cmd.exe
ScreenSaveTimeout 900 15
Spara ändringar och starta om datorn normalt. Efter att windows startats om och du ombeds trycka CTRL-ALT-DEL för att logga in är det bara att vänta, tryck inte CTRL-ALT-DEL utan vänta på att 'cmd.exe' startas. Efter 15-30 sekunder dyker kommandotolken upp istället för skärmsläckaren. Skriv följande i kommandotolken:
C:\WINNT\system32> MMC DSA.MSC
Nu öppnas en 'management console' där du kan ändra användares och administratörers lösenord(alternativt: skriv 'EXPLORER' i kommandotolken, och navigera dig till start -> Programs -> Administrative Tools -> Active Directory Users and Computers). Byt lösenord på administratörskontot och spara. Skriv EXIT i komandotolken så att du kommer ut till inloggningssessionen igen. Tryck nu CTRL-ALT-DEL och logga in som ADMINISTRATOR i DOMÄNEN på NÄTVERKET! Ha det så kul!
[Tipps] Om du ändrar/raderar lösenordet till ett administratörskonto kommer detta förr eller senare att upptäckas. Det är därför att föredra att man skapar ett nytt konto med fullständiga admin-rättigheter(om det är möjligt) istället för att ta över adminkontot. En möjloghet kan vara att lägga in en bakdörr/trojan/keylogger som ligger kvar och som du kan använda även om ditt intrång upptäcks. Göm den i så fall väl och glom inte att rensa loggar. Använd ditt sunda förnuft.
-------------
Jag hoppas att denna guide varit till hjälp. Förslag, synpunkter, frågor kan skickas till wyerd@hush.com.
Källor: Mycket av informationen är tagen ifrån internet, översatt till svenska och bearbetad. Främst från pnordahl (http://home.eunet.no/~pnordahl/ntpasswd/) som har skrivit programmet vi använder, och från John Simpsons hemsida http://www.jms1.net/) Tack till er båda. Tack även till phreakdenta för BIOS-master-pass.
Disclaimer. Denna text beskriver endast ett säkerhetsproblem. Jag ansvarar INTE för vad ni gör med denna information osv.