Nickname
A Chatear seguro hay alguien conectado
Hackear
los Passwords de Windows NT
--------------------------------------------------------------------------------
Introducción:
En este texto vamos a tratar las distintas formas de crackear los passwords
de Windows NT. Esto nos puede ser muy útil a la hora de hacer una auditoria
de seguridad en nuestro sistema, o para seguir confirmando las debilidades
del M$ Windows NT ;)
Lo
primero que tenemos que hacer es conseguir los passwords hashes (trozos de
password encriptados pero en formato texto ASCII) y hay 3 formas de hacerlo,
desde un archivo SAM del disco, directamente del registro o mediante el uso
de un sniffer.
Obteniendo
el archivo SAM
Hay 3 formas en la que podemos extraer un password hash de un archivo SAM
en el disco rígido, desde donde el sistema guarda el SAM, del disco
de reparación de Windows NT o de una cinta de backup.
Para
obtener el archivo SAM del disco rígido lo podemos encontrar en el
directorio \\WINNT\SYSTEM32\CONFIG. Por default este archivo se puede leer
pero no lo vamos a poder hacer mientras Windows NT se este ejecutando porque
en ese momento se encuentra abierto de forma exclusiva por el sistema operativo.
Lo que podemos hacer es iniciar la PC con otro sistema operativo y copiarlo
directamente, si lo hacemos desde Linux no vamos a tener problemas porque
este soporta las particiones NTFS de Windows NT; pero si lo queremos hacer
desde Windows 9x, deberemos conseguir un programa como el Ntfsdos que nos
permite acceder a la partición NTFS desde una partición FAT
como la de Windows 9x; o sea, que haces un disco de inicio y copias el Ntfsdos
en el, inicias el sistema con este disco y ejecutas el Ntfsdos que lo que
hace es montar la partición NTFS a la FAT y entonces te vas al directorio
\\WINNT\SYSTEM32\CONFIG y copias el archivo SAM al disco.
Otra
forma de obtener el archivo SAM es mediante el disco de reparación;
durante la instalación de Windows NT una copia del archivo de passwords
es puesta en el directorio \\WINNT\REPAIR. En este archivo ya que se creo
durante la instalación solo vamos a encontrar la cuenta del Administrador
y la del Guest y nos va a ser útil solo si el Administrador no cambio
la contrasena después de la instalación; pero si el Administrador
actualizo sus discos de reparación entonces si vamos a poder encontrar
una copia de todos los passwords del sistema. En este directorio vamos a encontrar
el
archivo SAM pero comprimido como SAM. para poder crackearlo con el L0phtCrack
que es uno de los mejores crackeadores de NT lo hacemos normalmente pero siempre
y cuando lo estemos corriendo bajo Windows NT, si en cambio estamos corriendo
el L0phtCrack en Windows 95/98 para poder importar el SAM. primero vamos a
tener que descomprimirlo utilizando el comando "expand" de Windows
NT de la siguiente forma: "expand SAM._ SAM" y luego lo importamos
normalmente para poder crackearlo.
El
archivo SAM también queda guardado en las cintas de copia de seguridad
cuando se hace un backup del sistema. Si conseguís una cinta de backup,
podes restaurar el archivo SAM de \\WINNT\SYSTEM32\CONFIG a otra computadora
para después crackearlo.
La
herramienta que vamos a utilizar para crackear los SAM va a ser el L0phtCrack,
simplemente porque es el mejor crackeador de passwords de Windows NT. Una
vez que ya tenemos el SAM tememos que ir al menu "File" y seleccionar
la opción "Import SAM File..." que nos va a desplegar un
menú para poder seleccionar el archivo, una vez que ya lo importamos
vamos a la opción "Tools" y seleccionamos la opción
"Run Crack", luego de esto es cuestión de tiempo y por supuesto
suerte.
Volcando
los passwords desde el registro.
Otro método para obtener los password encriptados de un NT, es volcarlos
desde el registro. Para hacer esto vamos a utilizar la opción "Tools
Dump Passwords from Registry' de la herramienta L0phtCrack. Si tenemos privilegios
de Administrador podemos volcar los passwords encriptados desde una maquina
localmente, o sobre la red si es que la máquina remota tiene permisos
de acceso al registro a través de la red; solamente especificamos el
nombre de la computadora o la dirección IP de esta con el formato común
de M$ "\\nombre de la computadora" o "\\direccion IP"
dentro del cuadro de dialogo de "Dump Password from Registry" y
presionamos OK. Una vez que hicimos todo esto ya tendríamos cargados
los passwords encriptados dentro del L0phtCrack; así que ahora solo
debemos proceder a crackear.
Una
cosa a tener en cuenta es que si tenemos la versión en espanol del
Windows NT la palabra Administrator esta cambiada por Administrador; por lo
que el L0phtCrack no nos va a funcionar. Lo que vamos a hacer es editar el
registro de Windows NT y decirle al L0phtCrack que busque por Administrador
y no por Administrator, para esto vamos a editar el registro de la siguiente
forma, usamos el regedit.exe y editamos la siguiente clave: HKEY_CURRENT_USER\Software\L0pht\L0phtCrack\AdminGroupName
y cambiamos el valor que viene por Administrador.
Ademés
de todo esto, Microsoft incluyo en el Service Pack 3 la utilidad SYSKEY que
lo que hace es encriptar los passwords hashes, o sea que si el SP3 esta instalado
en el sistema no vamos a poder volcar los passwords del registro; esto por
lo menos usando el L0phtCrack, pero todavía podemos usar otra utilidad
gratuita escrita por Todd Sabin llamada PWDUMP2, esta utilidad nos permite
obtener los passwords hashes encriptados con la utilidad SYSKEY y exportarlos
a un archivo de texto para después poder crackearlo con el L0phtCrack.
El PWDUMP2 sirve siempre que se use localmente y se tenga privilegios de Administrador,
pero entonces para que nos va a servir con propósitos de hacking?,
bueno porque puede trabajar con cualquier copia del registro. Y recordemos
que hay muchos malos Administradores de un sistema que permiten a los usuarios
de dominio conectarse localmente, y que también durante la instalación
han realizado un disco de rescate (rdisk.exe) ya que la opción por
defecto es "Si", y recordemos que cada vez que se ejecuta rdisk.exe
NT hace una copia del registro en %SystemRoot%\Repair (normalmente %SystemRoot%
es c:\winnt). Y los permisos por defecto para ese directorio son de "lectura"
para todos los usuarios.
Tengamos
en cuenta que L0phtCrack esta limitado a volcar y abrir 65K de usuarios. Y
si la lista de passwords es larga y tiene mas de 10.000 usuarios pongámonos
muy cómodos porque vamos a esperar un rato...
Usando
un sniffer.
Otro método que tenemos es capturar los passwords encriptados estando
en una red, si tenemos un objetivo especifico deberíamos estar en el
mismo segmento de red que la víctima. Este método es muy útil
si no tenemos acceso físico ni remoto, o esta instalado el SYSKEY.
Para hacer esto vamos a utilizar la opción "Tools SMB Packet Capture"
del L0phtCrack, esto nos abrirá una ventana y ya estaríamos
capturando todas las sesiones de autentificación SMB. En este texto
siempre estamos hablando de la versión 2.5 del L0phtCrack, así
que si tenían instalado una versión anterior de esta herramienta
hay remover el driver de red NDIS de la solapa "Protocolos" de la
configuración de "Red" en el "Panel de Control"
(esto es en Windows NT). Todos los logueos que vayamos capturando irán
apareciendo en la ventana del SMB Packet Capture, para guardar esto lo podemos
hacer con el botón "Save Capture". Para comenzar a crackear
los passwords que capturamos primero los tenemos que guardar y luego abrir
el archivo que se creo. Si dejamos al L0phtCrack uno o dos días capturando
passwords seguramente tendríamos los suficientes como para realizar
nuestro objetivo.
Donde
conseguir los programas que necesitamos?
Aquí se muestra donde conseguir y una breve resena de todos los programas
que se mencionan durante el desarrollo del articulo; también los podes
bajar de la web de Ezkracho: http://www.ezkracho.piratas.org/ pero igualmente
se va a poner la fuente original de estos.
Ntfsdos.
El Ntfsdos lo podemos encontrar en http://www.systernals.com/ntfs20r.zip y
como ya se explico nos sirve para acceder a una partición NTFS desde
una partición FAT, no hace falta decir cual es la gran ventaja de esto.
L0phtCrack.
El L0phtCrack lo podemos encontrar en http://www.l0pht.com/l0phtcrack/ la
última versión que podemos encontrar hasta el momento es la
2.5 que se puede usar durante un periodo de prueba por 15 días, luego
vamos a necesitar registrarlo para continuar con su uso. El método
mas rápido para crackear un password es mediante una ataque de diccionario,
podemos usar el diccionario que viene con el L0phtCrack que es chico pero
muy efectivo o también buscar en la red un diccionario mucho mas grande
que seguro hay muchos dando vuelta. Otro método que utiliza L0phtCrack
es el llamado "híbrido" que lo que hace es a las palabras
que encuentra en el diccionario agregarles letras o símbolos, por ejemplo
hay gente que pone su nombre con símbolos al final o intermedio, Juan$$Perez
o JuanPerez!!. El tercer y último método que utiliza el L0phtCrack
es el de Fuerza Bruta que ya todos saben como funciona, este es el método
mas seguro y descifra la clave sin ninguna duda, solo es cuestión de
tiempo...
PWDUMP2.
El PWDUMP2 es un programa gratuito escrito por Todd Sabin y lo podemos encontrar
en http://www.webspan.net/~tas/pwdump2/. Para una mayor descripción
de como conseguir los passwords hashes para usarlos con esta utilidad ver
en la pagina web de esta utilidad. Cabe acotar que el uso de PWDUMP2 en conjunto
con L0phtCrack es una excelente arma, para realizar auditorias por supuesto...
