O lado Mal do arquivo SAM

Started by dark_soldier, 15 de April , 2006, 01:37:24 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

dark_soldier

15 de April , 2006, 01:37:24 PM
  O Windows, armazena os nomes das contas e valores hash em um arquivo chamado SAM. Esse arquivo, por sua vez, pode ser encontrado no diretório WINNT\system32\config\sam do disco em que está instalado o Sistema Operacional (por exemplo, C:). O problema é que, enquanto o Windows está sendo executado, esse arquivo é intocavel: não pode ser copiado ou movido. Ele só pode ser acessado no modo Somente leitura. Portanto, não é possivel copiar o arquivo de uma maquina em pleno funcionamento, nem copiar o arquivo via rede, mesmo que o usuário da máquina tenham compartilhado o diretorio WINNT ou todo o drive C:.
  Mas é claro que, com um pouco de criatividade, é possível contornar o problema.A primeira coisa que vem a cabeça é a possibilidade de iniciar o computador com um Live CD), como o Kurumin, por exemplo, e no prompt de comando, se o sistema estiver formatado em FAT32, digitar:

mount -t ntfs  /dev/hda1 mnt/windows

Caso esteja formatado em NTFS, digite:

mount -t  vfat  /dev/hda1  /mnt/windows

  Após montar o disco em que estáo Windows, você terá acesso a todos os dados dessa partição, incluindo o arquivo SAM, que agora poderá ser copiado livremente para outro local, já que não está sendo utilizado. Para copia-lo para um disquete, bastaria digitar o comando:

cp -a  /dev/hda1/WINNT/system32/config/sam /dev/fd0

  A cópia em um disquete é apenas um exemplo. Como a maioria desses Live CDs possui suporye para redes e internet, seria perfeitamente possiovel configurar a rede local e o aceso à Web enviar o arquivo SAM, via e-mail, FTP ou mensageiros instantaneos, para qualquer lugar.
  A segunda maneira de se conseguir um arquivo SAM, paracida com a priomeira , é colocar um segundo disco rígido, com Windows 2000 ou XP, na máquina em que está o arquivo de senhas que se  quer copiar. O detalhe é que a máquina será iniciado por meio do segundo HD (Algumas configurações na BIOS ou nos jumpers que acompanham os discos rígidos devem ser feitas para que isso aconteça). Assim, o Arquivo SAM do disco rígidooriginal permanecerá ativado, o que fará com que ele possa ser facilmente copiado.
  Apesar da simplicidade dessas duas técnicas (basta ter acesso físico à maquina), elas são um bocado agressivas, em uma rede minimamenteorganizada, não é admissivel que um usuário inicialize uma maquina que não a sua sem um bom motivo, e muito menos que ele insira um outro disco rígido ou gravador de CDs nessa máquina. Mas, como estas situações não são impossiveis, e como o administrador de sistemas não é um ser material, livre das necessidades de sono e alimentacão o.O ;P , alguem abriu ou está prestes a abrir a máquina do colega de escritório em busca do tal arquivo SAM.

Uma Matéria do //Invasão feita pelo h4x0r (#Elite Top Team) é muito boa no tocante ao SAM também ...

http://www.invasao.com.br/coluna-diogenes-07.php#

bloodrain

#1
15 de April , 2006, 03:03:07 PM
e se agente fizer um programa que coloque ele em somente leitura e o copie ou copie seu conteudo sera que vai?

dark_soldier

#2
15 de April , 2006, 06:51:49 PM
Grande ideia! porem sera que o o Ruindows vai deixar um programa modificar um arquivo do sistema assim?

humm, O programa poderia copiar deixando copia rs sera que da? hehe

Anonymous

#3
16 de April , 2006, 07:11:17 AM
Heys! Esse seu texto está bom! Parabéns!

Quotese o sistema estiver formatado em FAT32, digitar:

mount -t ntfs  /dev/hda1 mnt/windows

Caso esteja formatado em NTFS, digite:

mount -t  vfat  /dev/hda1  /mnt/windows

Só um reparo... vc tem um erro: para se montar uma partição com o sistema de ficheiros FAT32 (não usado pelo windows XP por padrão) deve-se fazer na shell do sistema *NIX o seguinte comando:
mount -t  vfat  /dev/hda1  /mnt/windows em que /dev/hda1 é o local onde se encontram mapeados os dispositivos do sistema e /mnt/windows é uma directoria criada por vc onde será montada a dita partição com o sistema FAT32.
Para o caso da partição ter o sistema de arquivos NTFS (usado normalmente por padrão no windows XP, visto que dá maior velocidade de acesso e segurança) deve-se fazer o seguinte comando:

mount -t  ntfs  /dev/hda1  /mnt/windows em que a explicação é a mesma de acima! :D

Abraços e continue contribuindo para o darkers,

rog

#4
16 de April , 2006, 07:34:16 AM
bem visto crypthief

tambem possivelment /mnt/windows nao existe e teria que criar

rog
realty.sys is corrupt :  reboot the universe (Y/N)

bloodrain

#5
16 de April , 2006, 11:36:21 AM
acho que vou TENTAR modificar uma distro de disquete pra fazer isso entre outras coisinhas com o windows mas isso eh projeto pro mes que vem esse mes to mto ocupado(na vida real)

Anonymous

#6
16 de April , 2006, 11:48:54 AM
Heys! Para automatizar a cópia dos arquivos eu até poderia escrever um script em python que copiasse esses ficheiros para uma diskette ou até mesmo enviando para o próprio email da pessoa... que vc acha?? Tem alguma ideia melhor?

Abraços,

anakim

#7
16 de April , 2006, 12:18:04 PM
pessoal concordo com o BloodRain, é claramente possivel não precisar usar LiveCD, vc tem varias alternativas, como o autor do tópico disse só é possivel ver o arquivo como somente leitura, então pq naum selecionar tudo e copiar pra outro arquivo, lembrando pessoal q não é possivel e/ou recomendado alterar um arquivo q esta sendo usado por algum programa, então só abra ele como somente leitura e copie seu conteudo para um novo arquivo!!!,flws
Why use Windows? If I have the door ;-)

rog

#8
16 de April , 2006, 12:38:04 PM
lol

@anakim

Quotecomo o autor do tópico disse só é possivel ver o arquivo como somente leitura

o autor se espressou mau

os arquivos nao sao accessiveis em leitura

------------------------------------------------------------------------------
O illwill fez um boot floppy disk desse

http://www.governmentsecurity.org/forum ... st&id=1362

so nao testei ele

rog
realty.sys is corrupt :  reboot the universe (Y/N)

anakim

#9
17 de April , 2006, 11:01:24 AM
pow se fosse seria possivel copiar o conteudo, + eu tenho em mente q mesmo sem abrir é possivel usar outros meios, o D.O.S tem varios truques, flws!!!
Why use Windows? If I have the door ;-)

Anonymous

#10
19 de April , 2006, 01:25:07 AM Last Edit: 19 de April , 2006, 11:25:26 AM by Anonymous
hum... sim existe várias maneras de se obter o arquivo sam.... porem o que acontece caso você queira o arquivo de uma máquina da qual você não tem acesso fisíco???? como por exemplo uma máuqina da qual vc invadiu... um servidor windows.. como você copiaria o arquivo???
uma delas seria a boa e velha injeção de dll. o programa de ataque (remoto ou local) introduz num processo do windows de nome Lsass.exe uma DLL especial chamada de samdump.dll
O LSASS (Local Security Authority Subsystem) faz tudo o serviço sujo para a gente: retira do registro os hashes das senhas e as decifra como SYSKEY.  como o lsass.exe roda como usuário SYSTEM, tudo o que a DLL samdump.dll tem de fazer é solicitar os hashes e envia-los ao programa de ataque. Porem infelizmente para que tudo dê certo, precisamos ter em mãos uma conta de usuário com direitos de administradores na máquina a ser atacada.
O segundo método você pode "entortar" o funcionamento de certos programas do ruwindows que rodam no  contexto do usuário SYSTEM. Se esses programas forem capazes de copiar o arquivo teremos alguma chance de fazer algo. Um exemplo seria substituir o salva-tela de login do windows por outro qualquer. esse outro qualquer poderia ser o CMD.EXE ;-)!!!! basta ir ao diretório c:/winnt/system32 (nesse caso estou dando exemplo ao um servidor windows NT sem service pack nenhum instalado) e renomear o arquivo logon.scr ( o screensaver padrão do windows) para logon.ORIGINAL. Depois pegue o programadesejado e renomeie para logon.src Feito isso encerre a sessão de utilização e espere. Se o CMD.EXE tiver sido copiado, após 10 ou 15 minutos aproximadamente aparecerá um pront do DOS rodando no contexto do usuário SYSTEM, podendo assim você copiar os arquivo SAM ;-) porem esse metodo é muito complicado para ser feito remotamente e até mesmo um bom administrador de rede logo veria que tem algo de errado no seu servidor ruwindows.....
Também podemos usar o agendador de tarefas (scheduler) para executar um programa em uma determinada hora. Como o agendador de tarefas também roda como usuario SYSTEM, podemos copiar o arquivo SAM por meio dele. :p
E por último o método mais fácil e para os mais preguiçosos....
O windows guarda cópias de backup de todos os arquivos do registro nos diretórios C:\Winnt\repair e C:\Winnt\RegBack. Esses diretórios não são protegidos, então podemos acessa-los com o windows rodando e sem muitas permissões (fácil de mais né =p), Agora a desvantagem é que como são cópias geradas automaticamente pelo ruwindows elas podem estar desatualizadas, com senahs guardadas que já não são mais as senhas do sistema (agora já imagino se você tem um servidor do qual você não muda a senha desde que ele foi montado?!?!)... Depois de ter os arquivos em mãos aproveite... ;-) agora é com voce......

Um abraço.....
Print
Go Up Pages1
User actions