Laboratorio Sicurezza Clicca QUI per vedere il messaggio nel forum |
stratos |
Qualcuno può aiutarmi circa l'esercizio sul sam ?
"1. Accedere al database SAM e ottenere gli hash LM/NT relativi all'utente
foobar. Confrontare gli hash con l'output di pwdump6 e commentare i
risultati ottenuti (dieriscono? perche?)."
Come faccio ad accedere al sam dalla macchina virtuale ???
Devo entrare nel registro di sistema HKLM\SAM ??
Prelevarlo da c:\windows\system32\config, ma come ?
Non frequentando il corso alcune cose non sono specificate sulle slide o magari non le vedo io; Grazie in anticipo per le risposte. |
edima |
Anche io sto studiando senza frequentare. Non c'è nemmeno un forum attivo su questo corso? Nessuno sembra rispondere.
Ciao! |
edima |
Originally posted by stratos
Qualcuno può aiutarmi circa l'esercizio sul sam ?
"1. Accedere al database SAM e ottenere gli hash LM/NT relativi all'utente
foobar. Confrontare gli hash con l'output di pwdump6 e commentare i
risultati ottenuti (dieriscono? perche?)."
Come faccio ad accedere al sam dalla macchina virtuale ???
Devo entrare nel registro di sistema HKLM\SAM ??
Prelevarlo da c:\windows\system32\config, ma come ?
Non frequentando il corso alcune cose non sono specificate sulle slide o magari non le vedo io; Grazie in anticipo per le risposte.
Dovresti usare questi comandi (le utility sono pwdump6 e 'john the ripper'):
pwdump -o password.txt
john-mmx.exe --format=LM password.txt
john se trova la password te la visulizza in output e ti mette l'hash in john.pot. Siccome la codifica è LM avrai la password "spezzata" in due tronconi di 7 caratteri ognuno, se la password è più lunga di 7 caratteri, inoltre la password sarà scritta con soli caratteri maiuscoli.
Questo è l'output che ho su un utente TestUser che aveva prima la password impostata a "Commodore64" e poi cambiata a "Commodore128". pwdump tira fuori anche lo "storico" delle ultime password usate. Come noterai alla seconda esecuzioni john visualizza solamente "re64" perchè l'hash per COMMODO lo ha già in cache perchè l'aveva calcolato per la password precedente.
C:\Program Files\john1701\run>john-mmx.exe --users=TestUser --format=LM password
2.txt
Loaded 2 password hashes with no different salts (NT LM DES [64/64 BS MMX])
guesses: 0 time: 0:00:00:01 (3) c/s: 257698 trying: BUTTIE - BUTHU6
COMMODO (TestUser:1)
RE128 (TestUser:2)
guesses: 2 time: 0:00:00:20 (3) c/s: 5547K trying: RAXLJ - RE128
C:\Program Files\john1701\run>john-mmx.exe --users=TestUser_history_0 --format=L
M password2.txt
Loaded 1 password hash (NT LM DES [64/64 BS MMX])
RE64 (TestUser:2)
guesses: 1 time: 0:00:00:29 (3) c/s: 6124K trying: ROQJ - RAQP |
|
|
|