Toon posts:

Het auditen van een Windows XP-wachtwoord*

Pagina: 1
Acties:
  • 858 views sinds 30-01-2008
  • Reageer

donderdag 19 mei 2005 22:31

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Hallo iedereen,

Ik ben bezig met een klein 'experiment' ivm het auditen van Windows LM hashes. Ik maak gebruik van Rainbow tables (grote tabellen met berekende hashes). Deze tabellen werken wonderwel.

Er is echter iets vreemds aan de hand, Ik heb 3 Windows accounts met hetzelfde paswoord. De eerste account was reeds actief voor ik met Lopthcrack en Rainbow tables begon. Dit wachtwoord heb ik nooit gevonden. Toen besloot ik de andere account(s) met hetzelfde WW uit te rusten:

Verrassend werd dit WW wel gevonden :? Toen heb ik bij de eerste account het WW verandert, wel niet echt verandert, ik heb gwn hetzelfde WW ingegeven. Toen vond Loptcrack het wel.

Hoe kan dit nu?Heeft er iemand een idee :)

Ps: mijn OS is Win.XP

[ Voor 3% gewijzigd door Verwijderd op 20-05-2005 11:05 ]

donderdag 19 mei 2005 22:33

Acties:
  • 0 Henk 'm!
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Ik neem aan dat je een dump van de SAM tabel hebt gemaakt met pwdump2? Zo ja, weet je wel zeker dat de hash een LM hash was? Misschien dat dit wachtwoord als NTLM hash is opgeslagen.

donderdag 19 mei 2005 22:36

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
King_Louie schreef op donderdag 19 mei 2005 @ 22:33:
Ik neem aan dat je een dump van de SAM tabel hebt gemaakt met pwdump2? Zo ja, weet je wel zeker dat de hash een LM hash was? Misschien dat dit wachtwoord als NTLM hash is opgeslagen.
Ik heb idd een dump gemaakt omdat op Xp systemen syskey actief is. Ik ben vrij zeker dat het een LM hash is omdat het wachtwoord slechts 8 tekens is. (alle tekens waren lower case). Als extra test nam ik een veel ingewikkelder WW (lower + upercase + cijfers=>10 tekens in totaal). Dit WW werd ook metteen gevonden, steker nog: alle nieuwe WW die ik introduceer worden gevonden.

Voorwaarde is dat ze minder lang zijn als 14 tekens. Ik denktdat Win. pas een NTLM hash maakt als het WW langer is dan 15 tekens.

donderdag 19 mei 2005 22:45

Acties:
  • 0 Henk 'm!
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Verwijderd schreef op donderdag 19 mei 2005 @ 22:36:
[...]


Ik heb idd een dump gemaakt omdat op Xp systemen syskey actief is. Ik ben vrij zeker dat het een LM hash is omdat het wachtwoord slechts 8 tekens is. (alle tekens waren lower case). Als extra test nam ik een veel ingewikkelder WW (lower + upercase + cijfers=>10 tekens in totaal). Dit WW werd ook metteen gevonden, steker nog: alle nieuwe WW die ik introduceer worden gevonden.

Voorwaarde is dat ze minder lang zijn als 14 tekens. Ik denktdat Win. pas een NTLM hash maakt als het WW langer is dan 15 tekens.
De plaintext mag inderdaad niet langer zijn dan 14 tekens voor Windows om er een LM hash van te kunnen maken. LM hashes onder Windows bestaan uit 2x 7 "gehashte" tekens, en zijn daarom zo snel te kraken. Je hoeft je rainbowtables immers maar voor 7 tekens te maken. NTLM hashes worden dus gebruikt bij passwords van 15 of meer tekens, of als dit door een policy is afgedwongen. Je kunt namelijk door middel van een lokaal beveiligingsbeleid instellen dat passwords altijd als NTLM hash opgeslagen moeten worden. (Start > Uitvoeren> secpol.msc > Beveiligingsinstellingen > Beveiligingsopties > Netwerktoegang: LAN Manager hashwaarde niet bewaren bij volgende keer wachtwoord veranderen.

Ik betwijfel dus dat het exact dezelfde hash was. Ik weet niet of je deze nog bewaard hebt, maar misschien kun je de hashes met elkaar vergelijken. Zijn ze wel hetzelfde?

donderdag 19 mei 2005 23:03

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
[b][message=23416422,noline]King_Louie schreef op donderdag 19 mei 2005 @

Ik betwijfel dus dat het exact dezelfde hash was. Ik weet niet of je deze nog bewaard hebt, maar misschien kun je de hashes met elkaar vergelijken. Zijn ze wel hetzelfde?
De hashes zijn identiek |:( erg bizar dus...Ik heb al erg lang nagedacht. Er is nog 1 dingetje dat ik niet heb kunnen testen: Tables die ook common symbols bevatten zoals "ç!(. Deze waren namelijk 10 gieg groot en ik heb een limiet van 10 GB per maand :( ). Heb je die toevallig;)?dan kan je ze is loslaten op mijn hash :) .

edit: Pwdump2 dumpt blijkbaar 2 hashes, vermoedelijk een LM en een NTLM hash. Wat ook best grappig is dat hij het WW 'bol' niet vindt via de tables maar wel met een dictionary attack
ooit kom ik erachter :)

[ Voor 13% gewijzigd door Verwijderd op 19-05-2005 23:08 ]

donderdag 19 mei 2005 23:08

Acties:
  • 0 Henk 'm!
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Verwijderd schreef op donderdag 19 mei 2005 @ 23:03:
[...]


De hashes zijn identiek |:( erg bizar dus...Ik heb al erg lang nagedacht. Er is nog 1 dingetje dat ik niet heb kunnen testen: Tables die ook common symbols bevatten zoals "ç!(. Deze waren namelijk 10 gieg groot en ik heb een limiet van 10 GB per maand :( ). Heb je die toevallig;)?dan kan je ze is loslaten op mijn hash :) .


ooit kom ik erachter :)
Als de hashes identiek waren is het inderdaad heel vreemd, en heb ik er in ieder geval geen verklaring voor.

Ik heb overigens wel wat LM tables, maar deze zijn beperkt tot hoofd/kleine letters en cijfers. Heb ook nog wat MD5 tables, maar daar heb je niet veel aan. :)

vrijdag 20 mei 2005 02:20

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Klein vraagje (lijkt me niet de moeite om een topic voor te openen)

Als je store passwords using reversible encrytion aanzet, worden (opgezocht via google) de wachtwoorden opgeslagen als plain text. Echter kan ik niet vinden waar...weet iemand dit

vrijdag 20 mei 2005 10:35

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Welke versie van Windows hebben we het hier over? Dit per de Windows Operating Systems - Policy :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 20 mei 2005 11:04

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
sanfranjake schreef op vrijdag 20 mei 2005 @ 10:35:
Welke versie van Windows hebben we het hier over? Dit per de Windows Operating Systems - Policy :)
Excuses:-) soms vergeet ik dit erbij te zetten (zeker op de laate uurtjes) het gaat hem om Xp
Er is op google te vinden wat het is en wat het doet maar niet waar je het kan vinden :) de folder windows\system32\config heb ik al grondig onderzocht, daar vind ik geen plain text passwords, terwijl deze optie toch dient om deze ergens op te slagen...

vrijdag 20 mei 2005 11:37

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 10:12

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op vrijdag 20 mei 2005 @ 02:20:
Klein vraagje (lijkt me niet de moeite om een topic voor te openen)

Als je store passwords using reversible encrytion aanzet, worden (opgezocht via google) de wachtwoorden opgeslagen als plain text. Echter kan ik niet vinden waar...weet iemand dit
De wachtwoorden worden dan niet opgeslagen als plain tekst maar met een omkeerbaar algoritme, dwz waarmee je het password dus kunt terugrekenen (dit in tegenstelling tot een hash). De naam zegt het ook al he ... Het wachtwoord word gewoon op dezelfde plaats anders opgeslagen.

[ Voor 6% gewijzigd door Bor op 20-05-2005 11:37 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 20 mei 2005 11:38

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Dan zet ik nog even [XP] in de titel :) Het gaat vast om een standalone. Op domeincontrollers kan je 'store passwords using reversible encryption' aanzetten. In mijn lokale security policy ook, alleen weet ik niet of deze door het domein is aangepast momenteel :P

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 20 mei 2005 11:45

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 10:12

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Store passwords using reversible encryption is voor authenticatiealgoritmen die dat nodig hebben zoals CHAP.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 20 mei 2005 11:47

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb mss weldra het antwoord op het probleem in de TS :) De persoon achter de Sacra rainbowtables gaat op onderzoek uit. Ik ben heel nieuwsgierig naar het antwoord.

Als er nog geinteresseerden zijn kan ik hier zijn bevindingen posten. Als het goed is voor de moderator, want ehm er komt nog al veel het woordje 'crack' in en het is vast geen GoT policy om dit aan te moedigen ;)

[ Voor 5% gewijzigd door Verwijderd op 20-05-2005 11:48 ]

vrijdag 20 mei 2005 23:55

Acties:
  • 0 Henk 'm!
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Verwijderd schreef op vrijdag 20 mei 2005 @ 11:47:
Ik heb mss weldra het antwoord op het probleem in de TS :) De persoon achter de Sacra rainbowtables gaat op onderzoek uit. Ik ben heel nieuwsgierig naar het antwoord.
Gewoon zelf maken die tabellen, deed er zelf een dag of 4 over op een 3GHz, 1GB RAM met 2x 80GB 7200 RPM SATA in RAID 0. Prima te doen, en je kunt ze helemaal maken zoals jij het wilt.
Als er nog geinteresseerden zijn kan ik hier zijn bevindingen posten. Als het goed is voor de moderator, want ehm er komt nog al veel het woordje 'crack' in en het is vast geen GoT policy om dit aan te moedigen ;)
Ik ben in ieder geval benieuwd waar het 'm nu in zat. Verder denk ik dat de hele rainbowtables methode niet echt in strijd is met de policy hier op GoT, aangezien je er geen beveiligingen mee omzeilt (ja, het is wel mogelijk, maar dat is niet het doel van dit topic) en het is volstrekt legale software. Maar goed, mocht ik het mis hebben, dan zal een moderator wel van zich laten horen. :)

zaterdag 21 mei 2005 00:48

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Het heeft toch in zekere mate met beveiliging te maken. Zolang er geen illegale dingen besproken worden lijkt me dit geen probleem.

Windows Operating Systems > Beveiliging & Virussen :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 22 mei 2005 13:00

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
King_Louie schreef op vrijdag 20 mei 2005 @ 23:55:
[...]

Gewoon zelf maken die tabellen, deed er zelf een dag of 4 over op een 3GHz, 1GB RAM met 2x 80GB 7200 RPM SATA in RAID 0. Prima te doen, en je kunt ze helemaal maken zoals jij het wilt.

[...]
Heb je het ook met het tool van Project RainbowCrack gedaan? (tutorial gevonden: http://www.antsight.com/zsl/rainbowcrack/rcracktutorial.htm)

Het gaat hem over configuration #1 (met deze charset: alpha-numeric(ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789))

Bij puntje 3 staat dat ik steeds kan pauzeren :) Op een Pentium 666 Mhz doet hij er 13.2 uur over. (per tabel). Total size van deze tabel zou 3 gieg moeten worden.

Mijn systeem is iets minder zwaar denk ik (dan jouw systeem dan ;) ) : Amd64 3200+, 1GBram, seagate barracuda 200 gieg hd (Sata). Dus ik zal er iets langer over doen.


Ik heb reeds een tabel gedownload die ook deze charset heeft. (ben ff de link kwijt) Deze vond het wachtwoord niet. (zie TS) Toen ik het zelfde wachtwoord aan een andere account gaf vond hij het plots wel.

Morgen ga ik ook eens beginnen met een tabel te maken.

Als het niet mis heb was dit het hash dat ik niet kon vinden: aad3b435b51404eeaad3b435b51404ee (feel free to try) })

In het WW komen enkel hoofdletters en cijfers voor. Het is 10 tekens lang. :)

zondag 22 mei 2005 13:21

Acties:
  • 0 Henk 'm!
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Je moet ook de tweede hash hebben die op een regel van de output van pwdump2 staat. Die hash die jij daar post staat ook in al mijn hashes. Het gaat juist om de 2e ;)

zondag 22 mei 2005 15:12

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
King_Louie schreef op zondag 22 mei 2005 @ 13:21:
Je moet ook de tweede hash hebben die op een regel van de output van pwdump2 staat. Die hash die jij daar post staat ook in al mijn hashes. Het gaat juist om de 2e ;)
Ow sorry O+ ik dacht dat de 2de de LTLM hash was en ik las in de documentatie van Lopthcrack dat deze niet te kraken was (my mistake).

De volledige hash is dan :

aad3b435b51404eeaad3b435b51404ee:e00f7f06b7359f59436d4c4fa2af93dd:::

zondag 22 mei 2005 16:07

Acties:
  • 0 Henk 'm!
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Verwijderd schreef op zondag 22 mei 2005 @ 15:12:
[...]


Ow sorry O+ ik dacht dat de 2de de LTLM hash was en ik las in de documentatie van Lopthcrack dat deze niet te kraken was (my mistake).

De volledige hash is dan :

aad3b435b51404eeaad3b435b51404ee:e00f7f06b7359f59436d4c4fa2af93dd:::
Nope, hier pikt ie 'm niet met LM tables

vrijdag 11 november 2005 15:47

Acties:
  • 0 Henk 'm!
  • Neus
  • Registratie: Maart 2001
  • Laatst online: 14-09 10:50

Neus

www.zenaconsult.com

Oude topic, late reply... Maar toch ;)

Je kan ook de RT downloaden:

http://rainbowtables.shmoo.com/

Very funny, Scotty... Now beam down my clothes !

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq