Путь к sam файлу windows 10

Что такое хэш паролей и база данных SAM?

SAM предназначен для диспетчера учетных записей безопасности.

База данных SAM является частью Windows.

Операционная система состоит из имени пользователя и пароля в зашифрованном формате, называемом хэшем пароля.

Файл SAM существует в C:/Windows/System32/config в Windows 7/8 / 8.1 / 10.

Если пользователь хочет войти в компьютер, имя пользователя и пароль должны совпадать для аутентификации, введенной пользователем.

Если пользователь набрал неправильное имя пользователя и пароль, аутентификация не удалась.

Алгоритм шифрования при этом NTLM2.

Основная цель SAM – сохранить компьютер и данные перед неавторизованным человеком, например, хакерами.

Но это не полностью работает против профессионального хакера.

Здесь я расскажу вам, как хакер сбрасывает эти  хэши паролей из базы данных и узнает пароль, взламывая эти хеши.

Шаг 1. Первый шаг: установите системный раздел Windows

Кликните на Places > Filesystem.

Когда вы щелкнете по файловой системе, раздел windows будет автоматически установлен в каталог /media.

Откройте терминал и введите следующую команду, чтобы достичь  местоположении, где была сохранена база данных SAM.

 # cd /media/Mounting Point value/Windows/System32/config 

В приведенном выше монтировании значение будет изменено в соответствии с системой, вы можете увидеть это значение, выполнив следующую команду:

 # ls /media 

Шаг 2: Сбросьте загрузочный ключ

 # bkhive SYSTEM /root/Desktop/system.txt 

System.txt – это файл, в котором хранится ключ загрузки и / root / Desktop – это место для сохранения файла system.txt.

Шаг 3: Дама хэшей паролей

Хэши паролей извлекаются с комбинацией bootkey и базы данных SAM, этот процесс завершается с помощью утилиты samdump2, найденной в kali linux по умолчанию.

Команда дает следующее:

 # samdump2 SAM /root/Desktop/system.txt > /root/Desktop/hashes.txt 

В реализованной команде база данных SAM и файл system.txt были объединены и создали новый файл hashes.txt

Чтобы увидеть хэши паролей, сдампенные в файл hashes.txt, используйте указанную команду

 # cat /root/Desktop/hashes.txt 

Измените каталог на /root/Desktop, используя следующую команду:

# cd /root/Desktop 

IШаг 4: John the Ripper средство взлома пароля

По достижении каталога для хэшей используйте выполните john с помощью данной команды

 # john -format = nt2 -users = vijay hashes.txt 

Утерян пароль на вход в Windows 10

Нужно проработать пошаговые действия для сброса пароля на установленную систему Windows 10 Pro amd64. Просто порой попадается, что придя на новое место работы коллектив просит сделать какую либо настройку и когда берешь ноутбук для ее выполнения сталкиваешься что никто (что очень странно) сразу же не знает пароль на вход. Я бы сказал, что это своего рода подстава. Просто он же лежит с ними в кабинете и получается без надобности и т. д.

Скачиваю образ Hiren’s.BootCD.15.2.iso на свою систему и через программу UltraISO записываю его на USB Flash носитель, затем в настройках BIOS ноутбука или стационарного ПК выставляю что первым следует загрузиться с USB, а уже потом с HDD.

Выбираю меню загрузки, как «Mini Windows XP» (Это LiveCD образ операционной системы плюс набор дополнительных программ которые нужны каждому системному администратору если он хочет быть системным администратором).

Итак система загрузилась, перехожу:

Start — Programs — и запускаю «HBCD Menu», затем щелкаю на элемент Programs и выбираю подменю «Passwords/Keys» — Windows Login — NTPWedit (Reset XP/Vista/7 User Password) следом запуститься программа, по умолчанию она выглядит так:

Здесь в этой программе следует поменять путь до файла SAM где хранятся логины и пароли установленные в системе Windows 10, а узнать какой путь правильный можно следующим образом:

Start — Run — explorer.exe — перехожу на каталог в левой части окна именуемый как «Desktop» — «My Computer» — и вижу все логические диски системы которые определил LiveCD, из списка понятно, что системный диск без загрузки с LiveCD это логический диск D: на котором и установлена операционная система:

Зная это изменяю путь до файла SAM, получается и сразу же программа выводит весь список учетных записей присутствующих в системе:

Чтобы поменять пароль на учетную запись с логином ekzorchik нужно выделить ее и нажать на сделавшуюся активной кнопку «Unlock» → «Change password», затем указываю новый пароль к примеру:

и нажимаю кнопку OK, затем сохраняю внесенные изменения в базу SAM нажатием на кнопку Save changes и Exit.

Закрываю все открытые окна, вынимаю USB носитель из ноутбука/компьютера и отправляю систему находящуюся сейчас в загрузке, как LiveCD в перезагрузку:

What do you want the computer to do? Выбираю Restart и нажимаю кнопку OK.
Когда система загрузится и остановится на этапе авторизации авторизуюсь с новыми идентификационными данными:

и я успешно авторизуюсь с новым паролем в системе. Итого все выше указанное полностью работоспособно.

Запись на USB накопитель установочный образ Windows системы, пусть это будет Windows 10 Pro x64 Rus, впрочем это не имеет какого либо значения и в момент когда компьютер/ноутбук будет грузиться с него выбрать на этапе мастера «Установка Windows»

и нажимаю «Далее» — затем на кнопку «Установить» не нажимаю, а обращаюсь свое внимание на элемент перехода с именем «Восстановление системы» щелкаю по нему левой кнопкой мыши, перехожа на «Поиск и устранение неисправностей» — «Командная строка» и передо мной окно командной строки:

Заменяю следующий файл в системе на cmd.exe:

X:Sources> cd /d d:WindowsSystem32

d:WindonwsSystem32>copy Utilman.exe Utilman_backup.exe

d:WindonwsSystem32>copy cmd.exe Utilman_backup.exe /y

Извлекаю USB носитель и отправляю систему в перезагрузку:

d:WindonwsSystem32>shutdown /r /t 3

На заметку: Исполняемый файл utilman.exe — это оснастка которую можно запустить до ввода логина и пароля в систему и что самое интересное получается, что она работает с правами системы.

Когда система загрузится, я еще пока не могу в ней авторизоваться мне нужно на этом этапе обратить свой взор на правый нижний угол и щелкнуть по иконке второй справа:

и вместо дефолтной программы utilman запуститься консоль командной строки с правами системы, а имя эти права можно делать с системой (работает как в Windows 7,10,Server2008R2/Server2012/R,Server2016 — это те с которыми я имею дело постоянно и проверял на них):

Проверяю какие у меня права в открытой консоли командной строки:

C:Windowssystem32whoami
nt authorityсистема

c:Windowssystem32>net users

c:Windowssystem32>net user ekzorchik Bb1234567

c:Windowssystem32>exit

и после авторизуюсь в системе с новыми идентификационными данными, система же успешно пропускает меня, теперь либо оставляем такой backdoor либо же грузимся к образа и заменяем Utilman_backup.exe на Utilman.exe

На заметку: Из этой заметки становится наглядно понятно почему защита от физического доступна к железу и осью на нем имеет принципиально важное значение, спасет или как-то затруднит взлом это пароль на BIOS или установка на зашифрованный раздел систему.

Итого: оба рассмотренных варианта имеют решение как задача по восстановлению доступа к Windows системе установленной как на компьютер или ноутбук, впрочем и для виртуальных систем работает все выше указанное.

На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.

Источник

How to Copy SAM and SYSTEM Registry Files from Windows 10, 8 and 7

How to dump SAM file while system is running? Need to copy SAM hive from a Windows PC you can’t log in? While Windows is running, you’re unable to copy the SAM file using Windows Explorer as it is in use by the system. In this tutorial we’ll show you how to copy the SAM and SYSTEM registry files from Windows 10 / 8 / 7, no matter whether you can log in as administrator or not.

Method 1: Copy SAM & SYSTEM Files with Admin Rights

If you can log into Windows as a user with administrative rights, you can easily dump the SAM and SYSTEM registry hives using the Command Prompt.

Just open the Command Prompt as Administrator, and then run the following commands:

Now you will find a copy of both the SAM and the SYSTEM registry files in your C drive.

Method 2: Copy SAM & SYSTEM Files without Admin Rights

If you’re locked out of Windows or lost admin privileges, a Live CD can help! After booting your computer into a Linux, Ubuntu or other Live CD, you can access all the files on the hard disk, and copy the SAM and SYSTEM hives from the WindowsSystem32Config directory.

For your convenience, we’ve added a new feature into PCUnlocker Live CD, which lets you make a backup of the Windows registry (SAM, SYSTEM, SECURITY, SOFTWARE) in just a few mouse clicks!

This feature is available in the trial version for free use.

Источник

Новая уязвимость Windows 10 и Windows 11 позволяет любому пользователю получить права администратора

Исследователь безопасности обнаружил, что пользователи с низкими привилегиями могут получать доступ к чувствительным файлам базы данных системного реестра. Реестр Windows 10 и Windows 11 выступает в роли репозитория конфигураций операционной системы и содержит хешированные пароли, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования системы и многое другое.

База данных реестра разбита на разные файлы, такие как SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые располагаются в папке по пути: C:Windowssystem32config.

Поскольку эти файлы содержат конфиденциальную информацию обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows, то их просмотр должен быть заблокирован для обычных пользователей с низкими привилегиями.

Это в особенности касается файла диспетчера учетных записей безопасности (Security Account Manager, SAM), который содержит хешированные пароли всех пользователей в системе. Данную информацию злоумышленники могут использовать для подтверждения своей личности.

Файл SAM доступен для просмотра любому пользователю

19 июля 2022 года исследователь безопасности Йонас Ликкегаард (Jonas Lykkegaard) связался с порталом BleepingComputer и сообщил о своей находке. Оказалось, что файлы реестра Windows 10 и Windows 11, связанные с диспетчером учетных записей безопасности (SAM) и всеми другими базами данных реестра, доступны для группы «Пользователи» с низкими привилегиями на устройстве.

Эта информация подтвердилась при тестировании на полностью обновленной машине под управлением Windows 10, версия 20H2.

С такими низкими разрешениями на файлы, злоумышленник с ограниченными привилегиями на устройстве может извлечь NTLM-хеш паролей всех учетных записей на устройстве и использовать эти хэши в атаках для получения повышенных привилегий.

Поскольку файлы реестра, такие как файл SAM, постоянно используются операционной системой, то при попытке доступа к файлу вы получите сообщение о нарушении прав доступа, поскольку файлы открываются и блокируются другой программой.

Однако, Ликкегаард утверждает, что получить доступ к файлам реестра можно через теневые тома Windows без нарушения прав доступа. Например, злоумышленники могут использовать следующий путь пространства имен устройства Win32 теневых копий томов для доступа к SAM-файлу любого пользователя на компьютере:

Используя эти низкие и некорректные файловые разрешения, злоумышленники смогут легко украсть NTLM-хеш пароля учетной записи с повышенными правами, чтобы получить более высокие привилегии.

Атака SeriousSAM (HiveNightmare) продемонстрирована в видео исследователя безопасности Бенджамина Делпи (Benjamin Delpy). Он является создателем программы для извлечения учетных данных Mimikatz, которая использовалась для получения повышенных привилегий.

По мнению Делпи применение данной уязвимости не ограничивается кражей NTLM-хешей и повышением привилегий, ее также можно использовать для проведения атак типа «Silver Ticket».

Неясно, по какой причина Microsoft изменила разрешения в реестре, чтобы обычные пользователи могли просматривать чувствительные файлы.

Эксперты по безопасности Уилл Дорманн (Will Dormann) и Джефф МакДжанкин (Jeff McJunkin) отметили, что Microsoft представила изменения разрешений в Windows 10, версия 1809.

Дорманн сообщил, что при чистой установке Windows 10, версия 20H2 низкие файловые разрешения не обнаружены.

Похоже, что Microsoft устранила проблему с разрешениями при выполнении чистой установки системы, но не исправила проблему при обновлении до новых версий.

В опубликованном 20 июля бюллетене безопасности Microsoft подтвердила наличие данной уязвимости «нулевого дня», получившей идентификатор CVE-2022-36934 (SeriousSAM, HiveNightmare). Компания сообщает:

Мы расследуем ситуацию и при необходимости предпримем соответствующие меры для защиты наших клиентов.

Редмонд рекомендует изменить разрешения для папки C:Windowssystem32config, чтобы снизить риск эксплуатации уязвимости.

Источник

Эффективное получение хеша паролей в Windows. Часть 1

Слегка измененное определение из Википедии:

Вообще, получение хеша паролей пользователей операционной системы, как правило, один из первых шагов, ведущий к компрометации системы в дальнейшем. Доступ к хешированным паролям дает “зеленый свет” различным атакам, к примеру: использование хеша для SMB-аутентификации в других системах с тем же паролем, анализ парольной политики и распознавание структуры пароля, взлом пароля и.т.п.

Способов получения хешированных паролей из SAM множество, и выбор конкретного способа будет зависеть от того, каким именно доступом к компьютеру жертвы вы обладаете.

Физический доступ

Вышеназванные утилиты, как правило, поставляются со многими дистрибутивами GNU/Linux. Перед получением дампа хешей убедитесь, что вы располагаете этими утилитами.

# bkhive
bkhive 1.1.1 by Objectif Securite
http://www.objectif-securite.ch
original author: ncuomo@studenti.unina.it

bkhive systemhive keyfile

# samdump2
samdump2 1.1.1 by Objectif Securite
http://www.objectif-securite.ch
original author: ncuomo@studenti.unina.it
samdump2 samhive keyfile

Пример получения хешей SAM из Windows-раздела /dev/sda1:

Если же bkhive и samdump2 у вас нет, то можно скопировать SYSTEM и SAM файлы из /mnt/sda1/Windows/System32/config себе на флешку, а затем импортировать файлы с флешки в любую утилиту, позволяющую извлечь хеши SAM: например, Cain & Abel, creddump,mimikatz и.т.п.

Обход приглашения на ввод пароля

Сброс пароля

Использование пост-эксплойтов

Есть и другие способы повышения привилегии, но их описание останется вне рамок этого поста.

Методы, основанные на унаследованных возможностях Windows

Также стоит упомянуть утилиту regback.exe из пакета Windows 2000 Resource Kit Tools. Утилита слегка упрощает процесс, так как сливаются только нужные файлы:

C:>regback.exe C:backtempSAM machine sam
C:>regback.exe C:backtempSYSTEM machine system

Если regback.exe не срабатывает, то на системах Windows XP и выше можно воспользоваться утилитами regedit.exe и reg.exe:

C:>reg.exe save HKLMSAM sam
The operation completed successfully
C:>reg.exe save HKLMSYSTEM sys
The operation completed successfully

И, наконец, еще один способ: файлы SAM и SYSTEM можно достать из каталога C:Windowsrepair. Но существует вероятность, что в каталоге содержаться устаревшие копии нужных файлов, информация о пользователях в которых неактуальна.

Метод, использующий теневое копирование томов

Для выполнения метода, вы можете воспользоваться cкриптом vssown, который дает возможность управлять теневым копированием.

Список теневых копий:

C:>cscript vssown.vbs /list
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

Как и ожидалось, сначала никаких теневых копий нет.

Проверим статус службы теневого копирования (VSS):

C:>cscript vssown.vbs /status
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

C:>cscript vssown.vbs /mode
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] VSS service set to ‘Manual’ start mode.

Если тип запуска службы “Вручную”, то нам нужно установить тип запуска в первоначальное состояние (“Остановлена”).

Создадим теневую копию:

C:>cscript vssown.vbs /create
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] Attempting to create a shadow copy.

Проверим, что теневая копия создалась:

C:>cscript vssown.vbs /list
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] ID:
[*] Client accessible: True
[*] Count: 1
[*] Device object: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
[*] Differnetial: True
[*] Exposed locally: False
[*] Exposed name:
[*] Exposed remotely: False
[*] Hardware assisted: False
[*] Imported: False
[*] No auto release: True
[*] Not surfaced: False
[*] No writers: True
[*] Originating machine: LAPTOP
[*] Persistent: True
[*] Plex: False
[*] Provider ID:
[*] Service machine: LAPTOP
[*] Set ID: <018d7854-5a28-42ae-8b10-99138c37112f>
[*] State: 12
[*] Transportable: False
[*] Volume name: \?Volume<46f5ef63-8cca-11e0-88ac-806e6f6e6963>

Обратите внимание на значение параметров Deviceobject и ID. Значение первого параметра понадобиться для осуществления следующего шага, а значение второго – для очистки.

Достанем следующие файлы из теневой копии:

Таким образом, мы только что скопировали файлы SAM и SYSTEM из теневой копии в папку C:root.

C:>cscript vssown.vbs /delete

Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] Attempting to delete shadow copy with ID:

И, наконец, остановим службу теневого копирования:

C:>cscript vssown.vbs /stop

Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] Signal sent to stop the VSS service.

Методы, основанные на внедрении в память процессов

Наиболее известным инструментом для получения хешей SAM, вероятно, является утилита fgdump – улучшенная версия pwdump6; обе утилиты разработаны командой foofus. Основное преимущество fgdump над pwdump заключается в возможности работать на системах Windows Vista и выше. Хотя пару раз я видел, как падали обе утилиты. Среди более стабильных и надежных инструментов можно выделить pwdump7 от Андреса Тараско (Andres Tarasco) и gsecdump от TrueSec. Обе утилиты работают на всех версиях Windows, как 32- так и 64-битных. Нужно отметить, что с контроллеров домена слить хеши паролей с помощью утилиты pwdump7 не получится, так как эта утилита вместо внедрения в LSASS читает хеши SAM из реестра. Еще одна надежная и популярная утилита – это PWDumpX, разработанная Ридом Арвином (Reed Arvin), хотя работает PWDumpX только на 32х разрядных системах.

Ниже на скриншоте показан дамп информации из SAM, полученной утилитой gsecdump на Windows Server 2003 SP2 32-bit:

Дамп информации о локальных пользователях после внедрения кода в процесс LSASS

В Metasploit Framework также имеются собственные модули пост-эксплойта, встроенные команды и скрипты для Meterpreter, позволяющие получить хеши SAM. Подробнее о работе кода и о том, какие идеи лежат в его основе можно прочитать в этих постах.

Разумеется, существует и множество других инструментов и методов, и важно знать, какой именно метод подходит для конкретной системы. Чтобы облегчить выбор, я создал сводную электронную таблицу, в которой перечислены нужные утилиты, их возможности и принципы работы, и, что самое важное, возможные проблемы при использовании таких утилит.

Источник

Хранение и шифрование паролей Microsoft Windows

Про взлом паролей windows было написано немало статей, но все они сводились к использованию какого-либо софта, либо поверхностно описывали способы шифрования LM и NT, и совсем поверхностно описывали syskey. Я попытаюсь исправить этот неодостаток, описав все подробности о том где находятся пароли, в каком виде, и как их преобразует утилита syskey.

Существует 2 возможности получения пароля — через реестр, или получив прямой доступ к файлам-кустам реестра. В любом случае нужны будут либо привелегии пользователя SYSTEM, либо хищение заветных файлов, например, загрузившись из другой ОС. Здесь я не буду описывать возможности получения доступа, но в целях исследования нагляднее будет выбрать первый вариант, это позволит не заострять внимание на структуре куста реестра. А запуститься от системы нам поможет утилита psExec от sysinternals. Конечно, для этих целей можно использовать уязвимости windows, но статья не об этом.

V-блок

Windows до версии Vista по умолчанию хранила пароль в двух разных хэшах — LM и NT. В висте и выше LM-хэш не хранится. Для начала посмотрим где искать эти хэши, а потом разберемся что из себя они представляют.

Пароли пользователей, а так же много другой полезной информации хранится в реестре по адресу HKLMSAMSAMDomainsAccountusers[RID]V
, известном как V-блок. Раздел SAM находится в соответствующем файле c:WindowsSystem32configSAM. RID — уникальный идентификатор пользователя, его можно узнать, например заглянув в ветку HKLMSAMSAMDomainsAccountusersnames (параметр Default, поле — тип параметра). Например, RID учетной записи «Администратор» всегда 500 (0x1F4), а пользователя «Гость» — 501 (0x1f5). Доступ к разделу SAM по умолчанию возможен только пользователю SYSTEM, но если очень хочется посмотреть — запускаем regedit c правами системы:

Чтобы наблюдать V-блок в удобном виде можно, например, экспортировать его в текстовый файл (File-Export в Regedit).
Вот что мы там увидим:

От 0x0 до 0xCC располагаются адреса всех данных, которые находятся в V-блоке, их размеры и некоторая дополнительная информация о данных. Чтобы получить реальный адрес надо к тому адресу, что найдем прибавить 0xCC. Адреса и размеры хранятся по принципу BIG ENDIAN, т.е понадобится инвертировать байты. На каждый параметр отводится по 4 байта, но фактически все параметры умещаются в одном-двух байтах. Вот где искать:

Адрес имени пользователя — 0xС
Длина имени пользователя — 0x10
Адрес LM-хэша — 0x9с
Длина LM-хэша — 0xa0
Адрес NT-хэша — 0xa8
длина NT-хэша — 0xac

В данном случае имя пользователя найдется по смещению 0xd4 + 0xcc и его длина будет 0xc байт.
NT-хэш будет располагаться по смещению 0x12c + 0xcc и его размер (всегда один и тот же) = 0x14.

Еще одна деталь, касающаяся хранения паролей — как к NT- так и к LM-хэшу всегда добавляются спереди 4 байта, назначение которых для меня загадка. Причем 4байта будут присутствовать даже если пароль отключен. В данном случае видно, что длина LM хэша =4 и если посмотреть на его адрес, можно эти 4 байта увидеть несмотря на то что никакого LM-хэша нет.
Поэтому при поиске смещений хэшей смело прибавляем 4 байта к адресу, а при учете размеров — вычитаем. Если удобнее читать код — вот примерно так будет выглядеть поиск адресов с учетом инверсии, лишних четырех байтов и прибавления стартового смещения 0xcc (код C#)

Алгоритмы

Теперь разберемся в алгоритмах шифрования.
Формирование NT-хэша:
1. Пароль пользователя преобразуется в Unicode-строку.
2. Генерируется MD4-хэш на основе данной строки.
3. Полученный хэш шифруется алгоритмом DES, ключ составляется на основе RID пользователя.
Формирование LM-хэша:
1. Пароль пользователя преобразуется в верхний регистр и дополняется нулями до длины 14 байт.
2. Полученная строка делится на две половинки по 7 байт и каждая из них по отдельности шифруется алгоритмом DES. В итоге получаем хэш длиной 16 байт (состоящий из двух независимых половинок длиной по 8 байт).
3. Полученный хэш шифруется алгоритмом DES, ключ составляется на основе RID пользователя.

4. В windows 2000 и выше оба полученых хэша дополнительно шифруются алоритмом RC4 с помощью ключа, известного как «системный ключ» или bootkey, сгенерированого утилитой syskey, и шифруются довольно хитрым образом.

Рассмотрим общую последовательность действий для получения исходного пароля и каждый шаг в отдельности
1. Получаем bootkey, генерируем на его основе ключи для RC4, расшифровываем хэши с помощью RC4
2. Получаем ключи для DES из RID’ов пользователей, расшифровываем хэши DES’ом
3. Полученые хэши атакуем перебором.

Bootkey

Системный ключ (bootkey) разбит на 4 части и лежит в следующих разделах реестра:

HKLMSystemCurrentControlSetControlLsaJD
HKLMSystemCurrentControlSetControlLsaSkew1
HKLMSystemCurrentControlSetControlLsaGBG
HKLMSystemCurrentControlSetControlLsaData

Раздел system находится в файле c:WindowsSystem32configsystem

Следует отметить, что раздел CurrentControlSet является ссылкой на один из разделов controlset и создается в момент загрузки системы. Это значит что не получится его найти в файле system, если система неактивна. Если вы решили искать ключ в файле — необходимо узнать значение ContolSet по умолчанию в HKLMSYSTEMSelectdefault.
например если HKLMSYSTEMSelectdefault = 1 — вместо HKLMSystemCurrentControlSet ищем в HKLMSystemcontrolset001

У каждого ключа реестра есть некий скрытый атрибут, известный как «class». Regedit его так просто не покажет, однако его можно увидеть, например, если экспортировать эти ключи реестра в текстовые файлы. В winapi для получения этого атрибута есть функция RegQueryInfoKey.
Фрагменты хранятся в строковом представлении шестнадцатеричных чисел, причем по принципу BIG ENDIAN (т.е не строка задом наперед, а число).
Например мы обнаружили вот такие записи:

Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaJD
Class Name: 46003cdb = <0xdb,0x3c,0x00,0x46>
Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaSkew1
Class Name: e0387d24 = <0x24,0x7d,0x38,0xe0>
Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaGBG
Class Name: 4d183449 = <0x49,0x34,0x18,0x4d>
Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaData
Class Name: 0419ed03 =

Собраный из четырех частей ключ будет массивом байт:

Далее элементы этого массива переставляются на основе некоторого константного массива p

key[i] = scrambled_key[p[i]];

В нашем примере получится массив:

этот массив и есть так называемый bootkey. Только в шифровании паролей будет учавствовать не он а некий хэш на основе bootkey, фрагментов f-блока и некоторых констант. Назовем его Hashed bootkey.

Hashed bootkey

для получения Hashed bootkey нам понадобятся 2 строковые константы (ASCII):

string aqwerty = «!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%»;
string anum = «0123456789012345678901234567890123456789»;
Также понадобится F-блок пользователя (HKLMSAMSAMDomainsAccountusers\F), а именно его 16 байт: F[0x70:0x80]

На основе этих значений, склееных в один большой массив формируем MD5 хэш, который будет являться ключем для шифрования RC4

rc4_key = MD5(F[0x70:0x80] + aqwerty + bootkey + anum).

Последним шагом для получения hashed bootkey будет rc4 шифрование( или дешифрование — в rc4 это одна и та же функция) полученым ключем фрагмента F-блока F[0x80:0xA0];

Hashed bootkey у нас в руках, осталось научиться с ним правильно обращаться.

Дешифруем пароли с помощью Hashed Bootkey

для паролей LM и NT нам понадобятся еще 2 строковые константы —

string almpassword = «LMPASSWORD»;
string antpassword = «NTPASSWORD»;

а так же RID пользователя в виде 4х байт (дополненый нулями) и первая половина Hashed Bootkey (hashedBootkey[0x0:0x10]);
Все это склеивается в один массив байт и считается MD5 по правилам:
rc4_key_lm = MD5(hbootkey[0x0:0x10] +RID + almpassword);
rc4_key_nt = MD5(hbootkey[0x0:0x10] +RID + antpassword);

полученый md5 хэш — ключ для rc4, которым зашифрованы LM и NT хэши в V-блоке пользователя

userLMpass = RC4(rc4_key_lm,userSyskeyLMpass);
userNTpass = RC4(rc4_key_lm,userSyskeyNTpass);

На этом этапе мы получили пароли пользователя в том виде в каком они хранились бы без шифрования syskey, можно сказать, что самое сложное позади. Переходим к следующему шагу

На основе четырех байт RID’а пользователя с помощью некоторых перестановок и побитовых операций создаем 2 ключа DES. Вот функции, которые осуществляют обфускацию (С#):
private byte[] str_to_key(byte[] str) <
byte[] key = new byte[8];
key[0] = (byte)(str[0] >> 1);
key[1] = (byte)(((str[0] & 0x01) > 2));
key[2] = (byte)(((str[1] & 0x03) > 3));
key[3] = (byte)(((str[2] & 0x07) > 4));
key[4] = (byte)(((str[3] & 0x0F) > 5));
key[5] = (byte)(((str[4] & 0x1F) > 6));
key[6] = (byte)(((str[5] & 0x3F) > 7));
key[7] = (byte)(str[6] & 0x7F);
for (int i = 0; i

Ну здесь особо комментировать нечего, кроме функции des_set_odd_parity(ref key) — это одна из функций библиотеки openssl, задача которой добавить некоторые «биты нечетности», используется для повышения стойкости ключа к атакам.

Исследование проведено на основе исходного кода ophcrack-3.3.1, а так же статьи Push the Red Button:SysKey and the SAM

Источник

Сброс Пароля

В качестве подопытного кролика будет выступать операционная система Windows 10, установленная в виртуальной машине VirtualBox. В ней будет присутствовать учетная запись с намеренно забытым паролем.

Наша цель, получить доступ к данной учетной записи.

В общем берем в руки установочный Windows-диск и читаем дальше.

Среда Предустановки

Загружаемся с установочного диска Windows. Запустится среда предустановки, на экране появится окно мастера установки.

Нажимаем на клавиатуре сочетание клавиш Shift+F10. Запустится окно командной строки.

По приветствию ввода команд видно, что текущей рабочей директорией является X:Sources. Нам же нужно перейти в директорию файла SAM, но прежде нужно понять под какой буквой расположен диск с установленной операционной системой Windows. Выполним команду mountvol, чтобы определить все подключенные диски.

В моем случае, в системе подключено четыре диска С, D, X и E. Диск X сразу исключаем, так как он принадлежит среде предустановки. Остальные проверяем командой dir.

В ходе поисков, целевым диском в моем случае, оказался диск D:. Выполняем смену рабочего диска командной строки на диск D:, и переходим в каталог WindowsSystem32config.

Проверим содержимое папки на наличие файла SAM командой dir.

Создадим копию данного файла. Выполним для этого команду copy SAM SAM.bkp.

Теперь перейдем на уровень выше, в директорию System32. Команда cd ... Переименуем исполняемый файл Utilman.exe в _Utilman.exe (ren Utilman.exe _Utilman.exe). Скопируем исполняемый файл cmd.exe в эту же директорию, указав в качестве нового имени имя Utilman.exe (copy cmd.exe Utilman.exe). То есть, выполним подмену файла.

Перезагружаем компьютер с жесткого диска. На экране входа в учетную запись, нажимаем на кнопку специальных возможностей.

Вместо привычного окна запуска специальных возможностей, запустится окно командной строки.

Запущена она будет от имени пользователя SYSTEM. В этом можно убедиться выполнив команду echo %USERNAME%.

Выполним в консоли команду lusrmgr.msc. Запустится оснастка Локальные пользователи и группы. Через нее, можно будет без каких либо затруднений выполнить сброс, либо изменение пароля необходимого пользователя.

Сброс осуществляется установкой пустого пароля.

На этом сброс пароля можно считать завершенным. Остается только вернуть все как было, то есть переименовать обратно файл _Utilman.exe, предварительно удалив ненастоящий Utilman.exe. Сделать все это, можно уже в работающей основной системе, не обязательно грузиться снова с установочного диска.

Не Utilman’ом Единым

Чуть выше, был применен трюк с переименованием системной программы Utilman.exe. Отвечает она за панель специальных возможностей, вызывается сочетанием клавиш Win+U. Это не единственная программа подлог которой можно совершить. Ниже я перечислю перечень системных программ:

osk.exe — экранная клавиатура, вызывается из меню специальных возможностей.

Magnify.exe — экранная лупа, тоже является частью специальных возможностей. Может вызываться сочетанием клавиш Win++.

sethc.exe — программа запускающаяся при пятикратном нажатии клавиш Shift. В Windows 10, на экране входа, она не работает. Но зато в ее предшественниках, должна.

Бэкап Файла SAM

В процессе описания процедуры сброса пароля, было произведено резервное копирование файла SAM в файл SAM.bkp. После данный файл больше никак не использовался. Зачем нужна резервная копия файла SAM? С помощью резервной копии файла SAM, можно выполнить откат к состоянию до сброса пароля, то есть вернуть сброшенный пароль обратно. Рассмотрим данный процесс более подробно.

Возврат Сброшенного Пароля

Как говорилось ранее, для осуществления отката к состоянию до сброса пароля, потрербуется резервная копия файла SAM, созданная до сброса пароля.

Необходимо снова загрузиться с установочного Windows-диска, войти в командную строку и перейти в ней папку WindowsSystem32config целевой операционной системы. То есть все то, что мы делали в начале процедуры сброса пароля.

Выполняем копирование, текущего файла SAM (сброшенный пароль) в файл _SAM, а файл SAM.bkp (несброшенный пароль) копируем в файл SAM. Делается это все командами copy SAM _SAM и copy SAM.bkp SAM.

Выполняем удаление файлов SAM.LOG* командой del /A SAM.LOGx, где x это цифра. Список всех файлов SAM.LOG можно получить командой dir /A SAM.LOG*. Удалять каждый придется по отдельности (команда del не понимает файловые маски к сожалению). Если этого не сделать, могут иногда возникнуть вот такие ошибки.

Перезагружаем компьютер, и проверяем результат.

Пароль запрашивается. В завершении, не забываем удалить бэкапы файла SAM, а именно SAM.bkp и _SAM. Делать это нужно естественно загрузившись в среде предустановки.

Итог

Мы рассмотрели, ручной способ сброса пароля локальной учетной записи Windows, без применения стороннего программного обеспечения. Все что требуется, это установочный диск Windows.

Сама идея данного способа, хороша тем, что с ее помощью мы получаем в свое распоряжение командную строку с правами системы. Что в свою очередь очень сильно развязывает руки. Хоть Explorer запускай.

Надеюсь данная информация будет полезна вам. А на этом у меня все 😉.

Об этой статье

Была ли эта статья полезной?

До
сих пор мы рассматривали процесс
восстановления паролей по известным
хэш-функциям, но не ответили на самый
главный вопрос: где эти хэш-функции
паролей хранятся и каким образом можно
получить доступ к базе учетных записей
пользователей? Все учетные записи
пользователей вместе с соответствующими
им хэш-функциями паролей хранятся в так
называемой базе SAM (Security Accounts Manager). Она
представляет собой одноименный файл,
который не имеет расширения. SAM-файл
является составной частью реестра и
хранится в каталоге %systemroot%system32config
(под %systemroot% понимается каталог с
операционной системой — по умолчанию
соответствует каталогу C:WINDOWS). Кроме
того, резервная копия этого файла имеется
на диске аварийного восстановления
системы, а также в каталоге
%systemroot%repair. Однако при использовании
резервной копии SAM-файла необходимо
иметь в виду, что пароли могли измениться
с момента последнего сеанса создания
резервной копии. Кроме того, недавно
заведенных учетных записей пользователей
в резервной копии может и не оказаться.

Практические примеры

Говоря
о паролях и получении доступа к ПК,
необходимо рассмотреть два принципиально
разных сценария: первый — это получение
доступа к отдельному ПК, который не
входит в локальную сеть, а второй —
получение доступа к ПК в составе локальной
сети, то есть получение сетевого доступа.
При этом под локальной сетью мы будем
в дальнейшем понимать полноценную сеть
с выделенным контроллером домена.

С
программной точки зрения способы
получения доступа к локальному и сетевому
ПК ничем не отличаются друг от друга.
Разница заключается лишь в способе
получения SAM-файла, который в первом
случае хранится на локальном ПК, а во
втором — на контроллере домена сети.

Кроме
того, доступ к ПК можно реализовать за
счет как сброса пароля, так и его подбора.
Причем порядок действий различен,
поэтому мы детально рассмотрим оба
способа сброса.

Сброс пароля Windows

Как
уже отмечалось в первой части статьи,
существует два типа паролей: локальные
и сетевые. Хэш-функции локальных паролей
хранятся на самом ПК, а хэш-функции
сетевых паролей — на контроллере домена.
Поскольку процедура сброса пароля
подразумевает редактирование SAM-файла,
что принципиально невозможно реализовать
удаленно (то есть по сети), и требует
перезагрузки ПК, то сброс пароля
используется преимущественно для
получения доступа к локальному ПК. Если
же требуется сбросить именно сетевой
пароль пользователя, а администраторский
сетевой пароль утерян, то ту же самую
процедуру придется проделать для
сетевого контроллера домена, но нужно
понимать, что для этого необходимо иметь
физический доступ к серверу и процедура
его остановки и перезагрузки не останется
незамеченной.

Для
сброса пароля необходимо внести изменения
в SAM-файл, который хранится в директории
%systemroot%system32config. Однако при загруженной
операционной системе доступ к этому
файлу заблокирован, то есть его невозможно
ни скопировать, ни просмотреть, ни
подменить. Поэтому для получения доступа
к SAM-файлу прежде всего необходимо
загрузить компьютер не с жесткого диска,
а с дискеты, компакт-диска или с флэш-памяти
с использованием другой операционной
системы.

При
этом если на жестком диске компьютера
установлена файловая система NTFS, то
необходимо, чтобы загрузочная операционная
система понимала ее. К примеру, можно
подготовить системную дискету DOS и
разместить на ней драйвер NTFS, называемый
NTFSDOS. C помощью этого драйвера все разделы
NTFS будут смонтированы в качестве
логических дисков DOS, после чего доступ
к ним станет возможным.

Кроме
того, нам понадобится утилита, позволяющая
производить изменения в SAM-файле. Сегодня
наиболее популярными из подобных утилит
являются две: Active Password Changer 3.0 и Offline
NT/2K/XP Password Changer & Registry Editor.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

В системе Windows имеется множества параметров для тонкой настройки системы, тем самым некоторые изменения заносятся в реестр. Очень прекрасно, что windows имеет реестр, и дает возможность менять в нем значения для любой настройки системы. Важно отметить, что не всегда эти настройки полезны для самой windows и пользователя. Бывают моменты, что после изменения значения в реестре: система может не работать, тормозить, некоторые программы могут не запуститься или вовсе привести к краху компьютер. По этому мы разберем, как сделать резервную копию реестра, восстановить реестр их этой копии и как создать автоматическую копию реестра.

Резервная копия реестра в Windows 10

Во всех версиях Windows в редактор реестра можно зайти с помощью Поиска написав Regedit.

---

В открывшимся редакторе нужно просто нажать правой кнопкой мыши на значке Компьютер и выбрать из всплывающего меню Экспортировать. Таким образом будет создана полная резервная копия реестра.

Рекомендую: Если вы вносите незначительные изменения в реестр, то лучшим вариантом будет создать копию отдельно ключа «HKEY_CLASSES_ROOT» нажав на нем ПКМ и экспортировать. Далее просто выберите, где будет храниться ваша копия реестра.

Восстановление реестра из копии

В случае неудачного изменения или какого либо действия всегда можно восстановить системный реестр в Windows. Находясь в редакторе нажмите Файл и выберите Импорт, далее укажите путь к вашей сохраненной копии реестра.

Создать автоматическую копию реестра в Windows 10

Система Windows 10 все время создавала копии реестра автоматически и сохраняла их по пути C:WindowsSystem32configRegBack. Дело в том, что Microsoft убрала эту функцию с версии 1803, объясняя это тем, что копии забирали много места на локальном диске. По сути, если краш реестра с синим экраном (BSOD), то восстановить, как раньше, при загрузке не получиться. Майкрософт предлагает воспользоваться точкой восстановления, вместо копии ресстра. Я считаю, что это не правильно, но что делать, такова политика компании. Опция резервного копирования реестра была отключена, но не удалена, и по этой причине мы разберем, как создать автоматическую копию реестра в Windows 10.

Чтобы система Windows 10 сохраняла все время копии реестра в папку RegBack нужно воспользоваться редактированием параметра в реестре. Откройте редактор реестра и перейдите по пути:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerConfiguration Manager
• Справа нажмите на пустом поле правой кнопкой мыши и выберите «Создать» > «Параметр DWORD 32 бита«.
• Задайте имя новому ключу EnablePeriodicBackup со значением 1.

Перезагрузите компьютер и копии реестра будут создаваться автоматически в папку RegBack по пути C:WindowsSystem32configRegBack

Как восстановить реестр в Windows 10

За текущее хранение реестра отвечают файлы (DEFAULT, SAM, SOFTWARE, SECURITY и SYSTEM) по пути C:windowssystem32config. Сама же копия реестра хранится по пути C:WindowsSystem32configRegBack и в ней находятся точно такие же файлы, если включена автоматическая копия реестра, как описано выше. Мы просто берем файлы из папки RegBack и помещаем их в корень папки config, чтобы восстановить реестр из копии. Вы можете это сделать вручную с установочной флешки, загрузившись через безопасный режим или через CMD при загрузке ПК или опять же, через установочную флешку.

В командной строке введите:

• xcopy c:windowssystem32configregback c:windowssystem32config

---

---

[ Telegram | Поддержать ]

Здарова. Вот задачка интересная прилетела, нужно информацию по паролям, пользователям собрать. Задачу решил и теперь возникло желание сохранить результаты своих трудов, на будущее.

Итак, работать будем с программой Windows Password Recovery [Yandex.Disk, пароль – адрес сайта без протокола].

Работа с SAM-файлом

SAM – Security Account Manager. Файлы лежат в каталоге “WindowsSystem32config” оттуда нужно скопировать файлы SAM и SYSTEM. Просто так, на живой системе их скопировать не получится, нужно воспользоваться либо загрузкой с LiveCD, либо описанным мной способом по выдёргиванию файлов из цепких лап системы.

Итак, файлы мы свиснули. Запускаем программу и в разделе “Utils” запускаем SAM Explorer.

В появившемся окне выбираем пункт “SAM database of an external PC”, что означает, что мы будем брать внешние файлы SAM и SYSTEM, а не использовать с текущей (запущенной) системы.

Соответственно, укажем расположение файлов. Достаточно указать первый – программа увидев, что в том же каталоге лежит файл с другим именем – заботливо предложит автоматически путь к нему.

Отобразится краткая информация о пользователях из файла SAM. Здесь мы можем увидеть:

1. Имена и RID пользователей;
2. Входят ли они так или иначе в группу Администраторов;
3. Установлен ли пароль.

Если выбрать пользователя и нажать кнопку “Далее”, то отобразится дополнительная информация, такая как время последнего входа в систему, последнего выхода, время изменения пароля, срок действия аккаунта, последний ввод неверного пароля и много чего ещё.

К слову, даты представлены в виде 64-битной структуры FILETIME, которую ещё нужно конвертировать в “человеческий вид”. Покажу 2 способа. Либо кликаем правой кнопкой мыши на HEX-строке и выбираем “Copy Data as Hex”

Затем вставляем в WinHEX, подводим курсор на первый байт последовательности и в окне интерпретатора данных смотрим тип FILETIME.

Либо там же кликаем на пункт меню “Copy Data as Date String” и в журнале работы получаем упоминание “{May 25 2020 – 21:51:44} was copied to clipboard”

Внимательный читатель скажет “Па-а-аагадите-ка. Почему время разное?”

Время в файлах в файловой системе NTFS едва ли не всегда пишется в формате UTC (смещение +00:00 GMT). А представляется в различных окнах уже в зависимости от выбранного часового пояса. WinHEX учитывает эту особенность и заботливо подставляет ваш системный часовой пояс (в настройках указывается) в качестве смещения. Скажем так, два человека, один в Хабаровске, один в Москве увидят различное время в WinHEX исследуя один и тот же файл. Поэтому надо такой факт учитывать и не “влететь”.

Кому интересно – могут почитать мою статью про временные метки в Windows (и вторая часть).

Как узнать какой часовой пояс был установлен в системе?

Фуф. Закрыли тему.

---

Работа с паролями из Active Directory

Теперь воспользуемся аналогичным инструментом для Active Directory (домен Windows).

Всё с точностью, только стянуть нужно будет файл NTDS.dit из “WindowsNTDS” на контроллере домена. Ну и файл SYSTEM реестра, как обычно, лежит там же, где и у рабочей станции. Файл SYSTEM вообще всегда нужен, похоже, т.к. содержит в себе ключи для расшифровки (как я понимаю).

Решил для эксперимента проверить “на себе” и нашёл забавную аномалию:

Атака на пароли средствами программы

Данная программа позволяет также запустить атаку методом перебора на учётки:

Попробуем побрутить слитый файл NTDS.dit. Укажем пути к файлам и жмём “Import”

Тут же начинается атака методом перебора по словарю с мутациями и, надо сказать, какой-то процент учёток раскололись.

Типы атак на пароли:

В программе есть богатый функционал по генерации радужных таблиц, словарей, мутаций, генератор хешей, расшифровку DPAPI (как-то мне попался в одном кейсе), LSA, кешированных учёток, хранилища Windows и т.д. Одним словом, такой “швейцарский нож” для Windows-паролей.