Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

NTLM hash van inlog wachtwoord veilig stellen

Pagina: 1
Acties:

  • Dean88
  • Registratie: januari 2010
  • Laatst online: 08-02 07:36
Voor een schoolopdracht doe ik een onderzoekje of het in Windows 10 nog mogelijk is om de NTLM hash van een account veilig te stellen op een systeem waarin je niet bent ingelogd.
Ik weet dat dit mogelijk is met Windows XP & 7, maar volgens mij is dit met de Windows 10 (latere updates) niet meer mogelijk.

Als ik zelf inlog in mijn VM en de tool Mimikatz draai, krijg ik wel de NTML hash maar deze trekt hij dan uit het geheugen en ben ik dus ingelogged. Ik ben benieuwd of er nog mogelijkheden zijn op een (onversleuteld) Win10 machine die uit staat en zonder hybernation file beschikbaar.

  • medal
  • Registratie: februari 2010
  • Laatst online: 23:34
Informatie over credentials(niet persee ntlm) is over het algemeen op de volgende locaties te vinden:
SAM database en registry.

medal wijzigde deze reactie 02-02-2019 14:17 (68%)


  • Brainscrewer
  • Registratie: juli 2009
  • Laatst online: 19:37
Je zou dit artikel eens kunnen lezen, wellicht dat je daar iets aan hebt. Een andere manier waarop je NTLM-hashes kunt verkrijgen is door NTDS.dit en een kopie van het register te downloaden, maar dit moet wel op een Domain Controller uitgevoerd moeten worden met een account met administratieve privileges. Zie hiervoor dit artikel.

  • Dean88
  • Registratie: januari 2010
  • Laatst online: 08-02 07:36
Als ik het goed begrijp is met de komst van Windows 10 en wat latere updates het dusdanig goed versleuteld dat de NTLM hash niet inzichtelijk kan worden gemaakt op een stand alone machine. Dus in mijn voorbeeld bedoel ik een pc die niet verbonden is met een domain controller of iets dergelijks.

Ik hoor graag of dit klopt zodat mijn onderzoekje rond is, overige mogelijkheden zijn uiteraard ook welkom :)

  • medal
  • Registratie: februari 2010
  • Laatst online: 23:34
Dean88 schreef op woensdag 6 februari 2019 @ 12:25:
Als ik het goed begrijp is met de komst van Windows 10 en wat latere updates het dusdanig goed versleuteld dat de NTLM hash niet inzichtelijk kan worden gemaakt op een stand alone machine. Dus in mijn voorbeeld bedoel ik een pc die niet verbonden is met een domain controller of iets dergelijks.

Ik hoor graag of dit klopt zodat mijn onderzoekje rond is, overige mogelijkheden zijn uiteraard ook welkom :)
Heb het net even getest, maar de NTLM hashes zijn ook op een volledig up to date Windows 10 machine gewoon uit te lezen doormiddel van de bekende manieren.

  • Dean88
  • Registratie: januari 2010
  • Laatst online: 08-02 07:36
medal schreef op woensdag 6 februari 2019 @ 13:33:
[...]


Heb het net even getest, maar de NTLM hashes zijn ook op een volledig up to date Windows 10 machine gewoon uit te lezen doormiddel van de bekende manieren.
Werkelijk? Heb je ook getest of de gevonden NTLM hash ook daadwerkelijk je wachtwoord is?
In onderstaande post en link wordt ook het volgende beschreven:

You (wrongly) get 31d6cfe0d16ae931b73c59d7e0c089c0 hash of your password because format of the SAM and/or SYSTEM files has changed since Windows 10 Anniversary update (see: similar problem), thus tools like chntpw, bkhive, pwdump, samdump2 print hash of the empty password (I verified it on my Windows 10). Since this update, Windows uses AES128 to encrypt password's MD4 hash. Because of that, nearly all tutorials regarding Windows password recovery became outdated.

https://security.stackexc...p-using-a-microsoft-accou

  • medal
  • Registratie: februari 2010
  • Laatst online: 23:34
Dean88 schreef op woensdag 6 februari 2019 @ 14:02:
[...]


Werkelijk? Heb je ook getest of de gevonden NTLM hash ook daadwerkelijk je wachtwoord is?
In onderstaande post en link wordt ook het volgende beschreven:

You (wrongly) get 31d6cfe0d16ae931b73c59d7e0c089c0 hash of your password because format of the SAM and/or SYSTEM files has changed since Windows 10 Anniversary update (see: similar problem), thus tools like chntpw, bkhive, pwdump, samdump2 print hash of the empty password (I verified it on my Windows 10). Since this update, Windows uses AES128 to encrypt password's MD4 hash. Because of that, nearly all tutorials regarding Windows password recovery became outdated.

https://security.stackexc...p-using-a-microsoft-accou
Alle was misschien iets voorbarig, had even snel mimikatz er overheen getrokken en die hash klopt. Zoals ook aangegeven in jou link.

Lees ook dit eens door
http://www.insecurity.be/...hanged-technical-writeup/

medal wijzigde deze reactie 06-02-2019 14:34 (5%)


  • Dean88
  • Registratie: januari 2010
  • Laatst online: 08-02 07:36
medal schreef op woensdag 6 februari 2019 @ 14:11:
[...]


Alle was misschien iets voorbarig, had even snel mimikatz er overheen getrokken en die hash klopt. Zoals ook aangegeven in jou link.

Lees ook dit eens door
http://www.insecurity.be/...hanged-technical-writeup/
Iets te voorbarig? 8)7
In mijn eerste post geef ik ook al aan dat mimikatz wel werkt omdat hij dan live draait en hij de hash uit je geheugen/services trekt.
Maar in ieder geval bedankt voor het meedenken en reactie! :) (y)

Dean88 wijzigde deze reactie 06-02-2019 20:35 (6%)


  • medal
  • Registratie: februari 2010
  • Laatst online: 23:34
Dean88 schreef op woensdag 6 februari 2019 @ 20:32:
[...]


Iets te voorbarig? 8)7
In mijn eerste post geef ik ook al aan dat mimikatz wel werkt omdat hij dan live draait en hij de hash uit je geheugen/services trekt.
Maar in ieder geval bedankt voor het meedenken en reactie! :) (y)
…Mimikatz heeft meer opties dan alleen uit het geheugen lsa dump bijvoorbeeld. zoals ook vermeld staat in de door jou zelf geposte link. daarnaast legt het door mij gegeven artikel precies uit naar wat jij op zoek bent.

  • Dean88
  • Registratie: januari 2010
  • Laatst online: 08-02 07:36
medal schreef op woensdag 6 februari 2019 @ 21:14:
[...]


…Mimikatz heeft meer opties dan alleen uit het geheugen lsa dump bijvoorbeeld. zoals ook vermeld staat in de door jou zelf geposte link. daarnaast legt het door mij gegeven artikel precies uit naar wat jij op zoek bent.
Klopt feit blijft dat zowel Mimikatz als jouw gegeven artikel (overigens erg interessant) alleen gebruikt kan worden bij een live systeem. In mijn onderzoek is de vraag of je op een offline image de NTLM hash kunt bekijken, zonder inloggegevens..
Dit lijkt helaas niet meer te kunnen.

  • Gtoniser
  • Registratie: januari 2008
  • Laatst online: 20-10 15:53
Ja hoor dit kan gewoon. AES encryptie kan ook gewoon teruggedraaid worden, alleen de oudere tools ondersteunen het niet. Je kunt dit gewoon met mimikatz doen (offline op een dump van het register) of met secretsdump.py van impacket op een offline register dump.
Pagina: 1


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True