SAM unter DOS auslesen

#16 Also Bootfähige CD brennen oder normale ISO CD brennen?

#17 Als bootfähige CD brennen.
5 Stellen, nur Buchstaben? Örgl! Liesse sich bruteforcen. Entweder 26^5 oder 52^5 Möglichkeiten, je nachdem ob Groß-
und Kleinschreibung vorkommt. Anyway, dein Lehrer hat verloren...

Gruß,

Sepia

Edit: Wenn du das ISO hast, brenne es einfach. (Image brennen)

#18 @sepia: die Geschichte mit der Shell in VB funktioniert natürlich nur dann, wenn die cmd.exe auch cmd.exe heißt (wir denken leidgeprüft hier an (fast) alles.

Also wenn der Kollege dich an dem Lehrerrechner rumfummeln lässt und das PW nur 5 Stellen hat, ja dann...

#19

Zitat

@sepia: die Geschichte mit der Shell in VB funktioniert natürlich nur dann, wenn die cmd.exe auch cmd.exe heißt

Äh...was? Ich habe nichts von einer Shell in VB geschrieben(?)

Gruß,

Sepia

#20 Ach ja, @Dafra meine ich doch.

#21 Also ich habe es jetzt mal an meinem Rechner soweit getestet. Und zwar konnte ich mit Knoppix (lustiges Programm) die SAM kopieren. Habe die Sam in folgendes Verzeichnis gelegt:

c:\john-16\SAM

Gebe jetzt in der MS-DOS Eingabeaufforderung folgendes ein:

john -i:all c:\john-16\SAM

und er antwortet mir:

Loaded 0 passwords, exiting...

Was habe ich falsch gemacht bzw. was funktioniert hier nicht?

Mac

#22 Du hast nur die Sam file, jetzt musst du aus ihr den Passwort Hash auslesen, den du dann entschluesselst ! L0pht Cr*ck oder ich glaube auch Pwdump hilft ! Google einfach mal.

Wenn du die txt Datei mit den Hashs hast, am besten oeffnen und nur den Admin Account stehen lassen (die anderen Zeilen rausloeschen), da du sonst vielleicht nur "unwichtge Passwoerter" wie Gastzugang oder sowas mitbekommen wuerdest, was extra Zeit kostet.
MFG
DAFRA

edit:
Ach ja, wenn du weisst, dass das Passwort nur aus Buchstaben besteht, dann nimm nich "i" sondern den Buchstaben nur fuer die Buchstaben.

#23 Ich kenne nur folgenden Befehl für PWDump3:

pwdump3 127.0.0.1 c:\passwort.txt

Mit diesem befehl sucht er die original SAM ja selbst. Wie lautet der Befehl damit ich ihm sagen kann wo die kopierte SAM liegt?

PWDump3 stellt auch immer ADMIN$ dahinter. Wie kann man dies anders machen? Oder hilft mir PWDump3 hier nicht?

Mac

#24 Ich hab die ganzen dinge auch ausprobiert. Hab aber probleme mit pwdump2.
ich gebe in die eingabeaufforderung: ein cd pwdump\start [Enter]
pwdump2.exe [Enter]
dan muss ich irgendeine nummer bzw. pid für eine lsass.exe eingeben. Woher weiß ich wie diese nummer bzw. pid auf meinem pc lautet?
Funktioniert pwdump oder dieses andere teil überhaupt auf Windows XP Professional?
MFG
Super Fritz

#25 Die PID erfährst Du im Taskmanager => taskmgr.exe - Schon mal reingeschaut ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#26 Was ist eine PID

Also das Programm L0phtC*ack habe ich gefunden und läuft jetzt bereits seit ca. 3 Stunden. Mal schauen ob es funktioniert, habe jetzt mal meine eigene SAM gefüttert, aber ich bin mir doch recht siegessicher

Jetzt bräuchte ich natürlich noch die Theorie für mein Referat. Warum kann man die SAM nicht einfach unter Windows/DOS kopieren, wer blockiert dies?

Liege ich mit der Vermutung richtig dass sich knoppix einfach nicht an die Sicherheitsrichtlinien von Windows hält und deswegen ein kopieren zulässt?

Was macht der LOphtC*ack jetzt eigentlich. Die Passwörter sehen aus als seien sie md5 gecryptet. Stimmt das? Und der LophtC*ack erzeugt jetzt einfach etliche Passwort Variationen und vergleicht diese mit dem realen Passwort? Oder tastet sich der LOphtC*ack einfach Stelle für Stelle an das original ran, weiß bei md5 eigentlich nicht möglich ist?!?!

Mac

#27

Zitat

Maca100v6 postete
Was ist eine PID

Also das Programm L0phtC*ack habe ich gefunden und läuft jetzt bereits seit ca. 3 Stunden. Mal schauen ob es funktioniert, habe jetzt mal meine eigene SAM gefüttert, aber ich bin mir doch recht siegessicher

Jetzt bräuchte ich natürlich noch die Theorie für mein Referat. Warum kann man die SAM nicht einfach unter Windows/DOS kopieren, wer blockiert dies?

Sie wird im laufenden Betrieb von Windows benutzt und kann deswegen nicht kopiert werden.

Liege ich mit der Vermutung richtig dass sich knoppix einfach nicht an die Sicherheitsrichtlinien von Windows hält und deswegen ein kopieren zulässt?

Im Grunde ja, wenn Windows nicht laeuft, dann kann die Sam natuerlich auch nicht geschuetzt sein. Also kannst du die dann einfach von Linux aus kopieren

Was macht der LOphtC*ack jetzt eigentlich. Die Passwörter sehen aus als seien sie md5 gecryptet. Stimmt das? Und der LophtC*ack erzeugt jetzt einfach etliche Passwort Variationen und vergleicht diese mit dem realen Passwort? Oder tastet sich der LOphtC*ack einfach Stelle für Stelle an das original ran, weiß bei md5 eigentlich nicht möglich ist?!?!

Es teste jede Kombination und vergleicht sie mit dem vorgegebenen Hash

Mac

MFG
DAFRA

#28 Hi,
@joschi könntest du mir sagen wo genau im taskmanager?
Ich hab nichts mit einer PID gefunden.

Gruß: Super Fritz

#29 naja, schau halt mal im reiter prozesse.
dort wird jeder zur zeit laufende prozess gelistet. neben anderen informationen kann man dort auch die process ID (PID) ablesen.
Jedem Prozess wird beim Start eine eindeutige ID, die pid, zugewiesen. Sie dient vor allem dazu jeglichen Prozess von einem beliebigen anderen zu unterscheiden, auch wenn zB die Namen identisch sind.

leider kann ich dir nicht sagen, wie man diese pid automatisch für bestimmte programme auslesen lassen kann.

#30 Wenn L0phtC*ack bei 100% steht und immer noch rechnet kann ich dann davon ausgehen dass er das Passwort nicht mehr entschlüsseln wird? Bzw. kann er das Passwort auch heraus finden bevor er bei 100% ist? Wofür steht:

3 H 10 M left - im Programm? Die geschätzte Zeit? Stand bei mir nämlich schon auf 0 H -1 M left!!!

Ich habe L0phtC*ack jetzt direkt die SAM gefüttert da ich ja keine txt erzeugen konnte mit PWdump. Geht das auch?

Mac

Mal angenommen er bekommt von 5 Usern nur die ersten 3 raus, zeigt er die dann sofort an oder erst wenn er die restlichen hat? Geht er ein PW nach dem anderen durch oder von oben nach unten oder willkürlich?