wachtwoorden achterhalen met cachedump op Terminal Server? - Privacy en beveiliging

woensdag 8 juli 2009 11:39

Acties:

Verwijderd

Topicstarter

Ik vroeg me zo af...

Met cachedump kun je gemakkelijk de cache van gebruikerslogons uit het register in een tekstbestand zetten en deze kun je vervolgens met een versie van John the ripper, bruteforcen om daar alle ooit ingelogde gebruikers en watchwoorden uit te halen.

Je moet alleen administrator rechten hebben op de pc om cachedump te gebruiken...

Ik las dit alles, ik ben met beveiliging bezig, ik heb dit niet zelf geprobeerd, net als het volgende.

Stel ik draai dit op een Terminal Server 2003, zou dit dan ook werken?

Zo ja, dan is dat best iets om je zorgen over te maken. Gebruikers die een beetje handig zijn, halen zo het administrator wachtwoord eruit, aangezien je daar redelijk voor mee inlogd voor beheer. Het enige dat ze dan tegen houdt is de administrator rechten.
Ik kon het niet vinden op het net, maar zijn er manieren om de cache te dumpen met gewone gebruikersrechten?
Het bestandje hebben ze zo naar huis gemaild om daar even een paar dagen/weken te gaan zitten bruteforcen...

woensdag 8 juli 2009 11:43

Acties:

Verwijderd

Topicstarter

Even voor de duidelijkheid: dit is geen verkapte manier van hulp bij hacken te krijgen. De beste beveiliging is toch gewoon een open discussie. Ik heb veel klanten met 2003 Terminal Servers. Om overal nou "cached logins uit te zetten in het registry" (de oplossing) lijkt me wat paranoide als dit niet nodig is.

woensdag 8 juli 2009 11:49

Acties:

Marzman

They'll never get caught.

Eigenlijk zou je het gewoon moeten proberen met een account met beperkte rechten, maar het programma is offline gehaald.

[edit]Zoals ik het hier lees moet je administratorrechten hebben http://www.jedge.com/docs...ord%20Cache%20Entries.pdf

[ Voor 38% gewijzigd door Marzman op 08-07-2009 11:56 ]

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

woensdag 8 juli 2009 12:03

Acties:

LuckY

ligt het niet aan de Active directory setting met use reversible encryption? dat als je die aan hebt dat je hem kan vinden en anders niet?

woensdag 8 juli 2009 12:14

Acties:

Marzman

They'll never get caught.

LuckyY schreef op woensdag 08 juli 2009 @ 12:03:
ligt het niet aan de Active directory setting met use reversible encryption? dat als je die aan hebt dat je hem kan vinden en anders niet?

Het gebruikt de cachefunctie die er voor zorgt dat je ook in kan loggen als er geen netwerkverbinding is. Aangezien het bruteforce is zal het niet om die reversible encryption gaan.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

woensdag 8 juli 2009 13:10

Acties:

Verwijderd

Topicstarter

Marzman schreef op woensdag 08 juli 2009 @ 11:49:
Eigenlijk zou je het gewoon moeten proberen met een account met beperkte rechten, maar het programma is offline gehaald.

[edit]Zoals ik het hier lees moet je administratorrechten hebben http://www.jedge.com/docs...ord%20Cache%20Entries.pdf

Hij is te downloaden, ik heb versie 1.1, maar ik werk hier op mijn pc met vista en daarop werkt 'ie niet. De beveiliging zal wel iets aangescherpt zijn in Vista (en 2008?). Ik wil dit niet op de server van een klant draaien natuurlijk.
Een virtual machine kan ook nog natuurlijk, maar zo zonder allerlij trucken zal dit ook niet met een gewone gebruikers account werken. Ik vraag me af of er tooltjes of manieren zijn om dit toch te kunnen doen?

dinsdag 18 augustus 2009 13:56

Acties:

olderchurch

Als je er mee wil spelen (op een testserver), kan je hem hier downloaden: http://www.hacktoolrepository.com/tool/43/CacheDump. De tool haalt de wachtwoorden die in het verleden zijn gebruikt om in te loggen uit de registry. Deze in de registry opgeslagen wachtwoorden worden gebruikt als er geen connectie is met het domein, zoals Marzman al zei.