phantom

.illuminato.

User info:

Registered: Jan 2008
Posts: 183 (0.03 al dì)
Location: Varesotto
Corso: Informatica per le Telecomunicazioni
Anno: III
Time Online: 18:23:57 [...]
Status: Offline

Post actions:

Ciao a tutti...ho bisogno di un paio di dritte sugli esercizi del laboratorio di Sicurezza.

Sto facendo quelli sulla prima parte di Windows, in particolare la sezione sull'autenticazione.

Utilizzo una macchina virtuale con WindowsXP professional e ho scaricato sia pwdump sia johntheripper...

Vorrei sapere, in merito all'esercizio
"Accedere al database SAM e ottenere gli hash LM/NT relativi all'utente
foobar. Confrontare gli hash con l'output di pwdump6 e commentare i
risultati ottenuti (dieriscono? perchè?)"

Sono riuscito ad accedere a SAM e al file contenente gli hash dell'utente foobar...vorrei sapere come distinguere gli hash LM da quelli NT.

Ho confrontato comunque i valori che mi dà pwdump con quelli di SAM ed effettivamente non sono gli stessi valori...ma vorrei sapere il motivo della differenza.

Inoltre in merito al secondo esercizio sull'autenticazione
"Utilizzando John The Ripper, vericare se è possibile ottenere la password di foobar a partire dagli hash restituiti da pwdump6. Se la password è di almeno 8 caratteri, osservare come John tratta separamente le due sottostringhe di 7 byte."

Ho fatto cosi: ho utilizzato pwdump e il risultato l'ho messo in un file di testo.
Poi ho eseguito John-mmx e John-386 (i due eseguibili) sul file di testo con i risultati di pwdump.
Con entrambi gli eseguibili il risultato è "No password hashes loaded"...

anche a voi succede così??


Grazie a tutti...


PS: se qualcuno ha le soluzioni degli esercizi degli altri laboratori li posti pure!

edima

walkingman

User info:

Registered: May 2003
Posts: 129 (0.02 al dì)
Location: Milano
Corso: Diploma universitario di informatica
Anno: 3
Time Online: 1 Day, 8:03:43 [...]
Status: Offline

Post actions:

Phantom,

prova a guardare questo thread, dove avevo messo la mia soluzione all'esercizio. E' passato un po' di tempo e non ricordo bene come l'avavo eseguito. Prova a vedere se ti trovi, io me lo riguardo nei prox. giorni e vedo se riesco a rispondere ai tuoi dubbi.

http://www.dsy.it/forum/showthread....&threadid=37089

Ciao!

edima

walkingman

User info:

Registered: May 2003
Posts: 129 (0.02 al dì)
Location: Milano
Corso: Diploma universitario di informatica
Anno: 3
Time Online: 1 Day, 8:03:43 [...]
Status: Offline

Post actions:

Originally posted by phantom


PS: se qualcuno ha le soluzioni degli esercizi degli altri laboratori li posti pure!

edima

walkingman

User info:

Registered: May 2003
Posts: 129 (0.02 al dì)
Location: Milano
Corso: Diploma universitario di informatica
Anno: 3
Time Online: 1 Day, 8:03:43 [...]
Status: Offline

Post actions:

Allora: il file che viene fuori da pwdump6 deve essere in questo formato:

TestUser:1109:FDAB656EF007906A1F3DD130CC1FCA9F:78A
902EE44B2076CAD17EB4CF946F2B1:::
TestUser_history_0:1109:FDAB656EF007906AEB8F212A14
F912C7:1D15BAC9BEE7763B13744598BD479EAD:::

nome_utente:UserID:LM hash:NT hash:::

quando il nome utente ha _history_n dopo signigica che si tratta dello storico delle n precedenti password impostate dall'utente.
Questo e' il formato di L0phtCrack, che john legge.

Quindi questo e' l'hash LM che si divide in 2 parti uguali di 16 caratteri

FDAB656EF007906A1F3DD130CC1FCA9F

FDAB656EF007906A - 1F3DD130CC1FCA9F

che john analizza separatamente. Dopo l'esecuzione john se trova un hash lo mette nel file john.pot, che e' una sorta di cache: la prossima volta che trova lo stesso hash non lo cerca piu'.
In questo caso, dopo la mia secnda esecuzione su TestUser, io avevo il seguente contenuto il john.pot

$LM$fdab656ef007906a:COMMODO
$LM$1f3dd130cc1fca9f:RE128
$LM$eb8f212a14f912c7:RE64

La sequenza di azioni era:
creare TestUser
assegnare la password a Commodore128
eseguire pwdump
eseguire john
cambiare la password di TestUser a Commodore64
eseguire pwdump
eseguire john

Infatti avevo impostato la password di TestUser prima a "Commmodore128" e poi a "Commodore64": siccome lui divide la password in 2 COMMODO era sempre uguale.

->Prima di tutto nota che le lettere sono tutte maiuscole (L'hash LM le trasforma tutte prima di salvare la password)

->Poi nota che tra TestUser e TestUser_History_0 la prima parte dell'hash e' uguale "COMMODO" e quindi alla seconda esecuzione (dopo aver cambiato la password) john ha solamente cercato il secondo hash "RE128" perche' in john.pot aveva trovato gia' COMMODO.

Tutto questo usando l'hash LM. Non ho ancora provato a usare john su NTLM2.

phantom

.illuminato.

User info:

Registered: Jan 2008
Posts: 183 (0.03 al dì)
Location: Varesotto
Corso: Informatica per le Telecomunicazioni
Anno: III
Time Online: 18:23:57 [...]
Status: Offline

Post actions:

Grazie, darò uno sguardo a tutto.


Hai provato a fare gli esercizi sui malware (quelli sulle API Win32, sulle macro ecc ecc).

Non riesco ad utilizzare netcat! Nel 3° esercizio dice di connettersi al servizio di rete w00t che abbiamo installato (malware benigno). Sapresti dirmi il comando da mettere su netcat?

Grazie


Ciao!

edima

walkingman

User info:

Registered: May 2003
Posts: 129 (0.02 al dì)
Location: Milano
Corso: Diploma universitario di informatica
Anno: 3
Time Online: 1 Day, 8:03:43 [...]
Status: Offline

Post actions:

Originally posted by phantom
Grazie, darò uno sguardo a tutto.


Hai provato a fare gli esercizi sui malware (quelli sulle API Win32, sulle macro ecc ecc).

Non riesco ad utilizzare netcat! Nel 3° esercizio dice di connettersi al servizio di rete w00t che abbiamo installato (malware benigno). Sapresti dirmi il comando da mettere su netcat?

Grazie


Ciao!

No, non li ho ancora provati. Mi mancano gli esercizi sui malware e quelli su XSS e Web. Mi sono un'attimo fermato perche' volevo preparare bene la teoria per lo scritto. Appena li provo, metto un post (sempre che riesca a capirci qualche cosa ).

A dirti la verita' dopo aver letto altri post mi e' parso di capire che lo scritto e' molto piu' difficile da passare...

Ciao!

phantom

.illuminato.

User info:

Registered: Jan 2008
Posts: 183 (0.03 al dì)
Location: Varesotto
Corso: Informatica per le Telecomunicazioni
Anno: III
Time Online: 18:23:57 [...]
Status: Offline

Post actions:

si...io l'ho già fatto e sono uscito con l'impressione di averlo fatto bene...invece il voto non è stato molto alto...farò l'orale sperando di prendere un buon punteggio!

edima

walkingman

User info:

Registered: May 2003
Posts: 129 (0.02 al dì)
Location: Milano
Corso: Diploma universitario di informatica
Anno: 3
Time Online: 1 Day, 8:03:43 [...]
Status: Offline

Post actions:

Secondo te quanto sono importanti gli ultimi capitoli: "Aspetti etico/sociali della Sicurezza". Sono mai state fatte domande su questa parte?

phantom

.illuminato.

User info:

Registered: Jan 2008
Posts: 183 (0.03 al dì)
Location: Varesotto
Corso: Informatica per le Telecomunicazioni
Anno: III
Time Online: 18:23:57 [...]
Status: Offline

Post actions:

Sinceramente non saprei dirtelo...e secondo me conviene comunque aver chiari i concetti principali di quella parte...cioè il piano per la sicurezza (analisi del rischio, politiche di sicurezza, piano operativo) e le metodologie per stimare il rischio (qualitative e quantitative).


Ciao!