Пошаговая имперсонализация

Полуэктов Александр

Спецвыпуск: Хакер, номер #048, стр. 048-020-2

Тебе нужно получить к ним доступ не из самой ОС. Как же это сделать? Здесь два пути, и они отличаются в зависимости от файловой системы, которая установлена на системном диске с Windows. Если там FAT32, то доступ к базе можно получить даже с загрузочной дискеты, созданной в Windows 98, или с любой ОС, установленной как альтернативная на данном компьютере. Загружаемся с дискеты и обыкновенной DOS-командой COPY копируем SAM-базу в другое место, не забывая про файл SYSTEM, в котором хранится ключ SYSKEY.

Если же там NTFS, то необходима возможность загрузки со специальной дискеты. А в BIOS нужно установить соответствующую последовательность загрузки системы: сначала с флоппи-диска, затем все остальное. На вход в BIOS стоит пароль? Обнуляем его перемычками на материнской плате или же пробуем вводить пароли, зарезервированные разработчиком BIOS для супервизорского входа. Далее на любой другой машине запускаем утилиту bootdisk.exe из пакета NTFSDos Pro (www.winternals.com) и создаем с ее помощью загрузочный диск, который позволит "подмонтировать" NTFS-разделы и "увидеть" их из-под DOS. Затем останется скопировать SAM/SYSTEM-файлы в другое место (можно на дискету, используя любой DOS-архиватор).

Трепанация SAM-базы

В итоге, после всех манипуляций файлы SAM и SYSTEM надо загрузить в специальную программу, к примеру SAMInside (www.insidepro.com), и можно начинать восстанавливать пароли.

Попробуем на практике с помощью SAMInside восстановить пароли из SAM-базы, например, с такими хэшами:

Администратор:500:00000000000000000000000000000000:62781BD14D85006B4734E2857B47019F:::

Гость:501: 00000000000000000000000000000000:31D6CFE0D16AE931B73C59D7E0C089C0:::

Мастер:1000:DAB56D929B00DB039D4BD15CFFF0E20C:B66B458E27BD714F99A05EE3C479FBF1:::

Иван:1001:598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF:::

Goblin:1002:0BC8D36E4D78246AAAD3B435B51404EE:1E1DD34B128DE1968A44212E05D9E942:::

petya1980:1003:4E6F46C1D006F762A91E548719C3AC6E:DB1D4EAECA820233B92708593BE4E092:::

Xen:1004:D1919E5054AE7CC7EFD3963F3DD00D8A:30F88284912BA9F7973D18EB2DC5DDDD:::

neo:1005:1DFF40B5A5703497B6CF57A62BF8D92D:AEA36890BB36AA0F51628AB08759AB31:::

Выводы:

- администратор не совсем глуп и сделал пароль с длиной более 14 символов (это видно из того, что LM-пароль отключен, хотя NT-пароль присутствует);

- учетная запись гостя или отключена вообще и не используется, или же позволяет войти с пустым паролем;

- пользователь «Иван» не стал думать над паролем и ввел самую популярную клавиатурную комбинацию (исключая Ctrl+Alt+Del, конечно) - "qwerty";

- пользователь "petya1980" сделал еще проще: он использовал в качестве пароля свой логин;

- также видно, что программа SAMInside моментально нашла два окончания паролей - 33 и 567890 еще для двух пользователей.

Для начала неплохо! Стоит заметить, что данная функция SAMInside ("интеллектуальная" загрузка хэшей) позволяет моментально оценить уровень квалификации пользователей на данном компьютере, и по статистике 5-10% паролей (или окончаний паролей) восстанавливаются уже на этапе загрузки хэшей.