Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

NTLM hash van inlog wachtwoord veilig stellen

Pagina: 1
Acties:

zaterdag 2 februari 2019 11:53

Acties:
  • Dean88
  • Registratie: Januari 2010
  • Laatst online: 10-06 21:48

Dean88

Topicstarter
Voor een schoolopdracht doe ik een onderzoekje of het in Windows 10 nog mogelijk is om de NTLM hash van een account veilig te stellen op een systeem waarin je niet bent ingelogd.
Ik weet dat dit mogelijk is met Windows XP & 7, maar volgens mij is dit met de Windows 10 (latere updates) niet meer mogelijk.

Als ik zelf inlog in mijn VM en de tool Mimikatz draai, krijg ik wel de NTML hash maar deze trekt hij dan uit het geheugen en ben ik dus ingelogged. Ik ben benieuwd of er nog mogelijkheden zijn op een (onversleuteld) Win10 machine die uit staat en zonder hybernation file beschikbaar.

zaterdag 2 februari 2019 14:15

Acties:
  • medal
  • Registratie: Februari 2010
  • Laatst online: 28-11 14:17

medal

Informatie over credentials(niet persee ntlm) is over het algemeen op de volgende locaties te vinden:
SAM database en registry.

[ Voor 68% gewijzigd door medal op 02-02-2019 14:17 ]

zaterdag 2 februari 2019 22:19

Acties:
  • Brainscrewer
  • Registratie: Juli 2009
  • Laatst online: 22-10 18:13

Brainscrewer

:+

Je zou dit artikel eens kunnen lezen, wellicht dat je daar iets aan hebt. Een andere manier waarop je NTLM-hashes kunt verkrijgen is door NTDS.dit en een kopie van het register te downloaden, maar dit moet wel op een Domain Controller uitgevoerd moeten worden met een account met administratieve privileges. Zie hiervoor dit artikel.

woensdag 6 februari 2019 12:25

Acties:
  • Dean88
  • Registratie: Januari 2010
  • Laatst online: 10-06 21:48

Dean88

Topicstarter
Als ik het goed begrijp is met de komst van Windows 10 en wat latere updates het dusdanig goed versleuteld dat de NTLM hash niet inzichtelijk kan worden gemaakt op een stand alone machine. Dus in mijn voorbeeld bedoel ik een pc die niet verbonden is met een domain controller of iets dergelijks.

Ik hoor graag of dit klopt zodat mijn onderzoekje rond is, overige mogelijkheden zijn uiteraard ook welkom :)

woensdag 6 februari 2019 13:33

Acties:
  • medal
  • Registratie: Februari 2010
  • Laatst online: 28-11 14:17

medal

Dean88 schreef op woensdag 6 februari 2019 @ 12:25:
Als ik het goed begrijp is met de komst van Windows 10 en wat latere updates het dusdanig goed versleuteld dat de NTLM hash niet inzichtelijk kan worden gemaakt op een stand alone machine. Dus in mijn voorbeeld bedoel ik een pc die niet verbonden is met een domain controller of iets dergelijks.

Ik hoor graag of dit klopt zodat mijn onderzoekje rond is, overige mogelijkheden zijn uiteraard ook welkom :)
Heb het net even getest, maar de NTLM hashes zijn ook op een volledig up to date Windows 10 machine gewoon uit te lezen doormiddel van de bekende manieren.

woensdag 6 februari 2019 14:02

Acties:
  • Dean88
  • Registratie: Januari 2010
  • Laatst online: 10-06 21:48

Dean88

Topicstarter
medal schreef op woensdag 6 februari 2019 @ 13:33:
[...]


Heb het net even getest, maar de NTLM hashes zijn ook op een volledig up to date Windows 10 machine gewoon uit te lezen doormiddel van de bekende manieren.
Werkelijk? Heb je ook getest of de gevonden NTLM hash ook daadwerkelijk je wachtwoord is?
In onderstaande post en link wordt ook het volgende beschreven:

You (wrongly) get 31d6cfe0d16ae931b73c59d7e0c089c0 hash of your password because format of the SAM and/or SYSTEM files has changed since Windows 10 Anniversary update (see: similar problem), thus tools like chntpw, bkhive, pwdump, samdump2 print hash of the empty password (I verified it on my Windows 10). Since this update, Windows uses AES128 to encrypt password's MD4 hash. Because of that, nearly all tutorials regarding Windows password recovery became outdated.

https://security.stackexc...p-using-a-microsoft-accou

woensdag 6 februari 2019 14:11

Acties:
  • medal
  • Registratie: Februari 2010
  • Laatst online: 28-11 14:17

medal

Dean88 schreef op woensdag 6 februari 2019 @ 14:02:
[...]


Werkelijk? Heb je ook getest of de gevonden NTLM hash ook daadwerkelijk je wachtwoord is?
In onderstaande post en link wordt ook het volgende beschreven:

You (wrongly) get 31d6cfe0d16ae931b73c59d7e0c089c0 hash of your password because format of the SAM and/or SYSTEM files has changed since Windows 10 Anniversary update (see: similar problem), thus tools like chntpw, bkhive, pwdump, samdump2 print hash of the empty password (I verified it on my Windows 10). Since this update, Windows uses AES128 to encrypt password's MD4 hash. Because of that, nearly all tutorials regarding Windows password recovery became outdated.

https://security.stackexc...p-using-a-microsoft-accou
Alle was misschien iets voorbarig, had even snel mimikatz er overheen getrokken en die hash klopt. Zoals ook aangegeven in jou link.

Lees ook dit eens door
http://www.insecurity.be/...hanged-technical-writeup/

[ Voor 5% gewijzigd door medal op 06-02-2019 14:34 ]

woensdag 6 februari 2019 20:32

Acties:
  • Dean88
  • Registratie: Januari 2010
  • Laatst online: 10-06 21:48

Dean88

Topicstarter
medal schreef op woensdag 6 februari 2019 @ 14:11:
[...]


Alle was misschien iets voorbarig, had even snel mimikatz er overheen getrokken en die hash klopt. Zoals ook aangegeven in jou link.

Lees ook dit eens door
http://www.insecurity.be/...hanged-technical-writeup/
Iets te voorbarig? 8)7
In mijn eerste post geef ik ook al aan dat mimikatz wel werkt omdat hij dan live draait en hij de hash uit je geheugen/services trekt.
Maar in ieder geval bedankt voor het meedenken en reactie! :) (y)

[ Voor 6% gewijzigd door Dean88 op 06-02-2019 20:35 ]

woensdag 6 februari 2019 21:14

Acties:
  • medal
  • Registratie: Februari 2010
  • Laatst online: 28-11 14:17

medal

Dean88 schreef op woensdag 6 februari 2019 @ 20:32:
[...]


Iets te voorbarig? 8)7
In mijn eerste post geef ik ook al aan dat mimikatz wel werkt omdat hij dan live draait en hij de hash uit je geheugen/services trekt.
Maar in ieder geval bedankt voor het meedenken en reactie! :) (y)
…Mimikatz heeft meer opties dan alleen uit het geheugen lsa dump bijvoorbeeld. zoals ook vermeld staat in de door jou zelf geposte link. daarnaast legt het door mij gegeven artikel precies uit naar wat jij op zoek bent.

vrijdag 8 februari 2019 07:36

Acties:
  • Dean88
  • Registratie: Januari 2010
  • Laatst online: 10-06 21:48

Dean88

Topicstarter
medal schreef op woensdag 6 februari 2019 @ 21:14:
[...]


…Mimikatz heeft meer opties dan alleen uit het geheugen lsa dump bijvoorbeeld. zoals ook vermeld staat in de door jou zelf geposte link. daarnaast legt het door mij gegeven artikel precies uit naar wat jij op zoek bent.
Klopt feit blijft dat zowel Mimikatz als jouw gegeven artikel (overigens erg interessant) alleen gebruikt kan worden bij een live systeem. In mijn onderzoek is de vraag of je op een offline image de NTLM hash kunt bekijken, zonder inloggegevens..
Dit lijkt helaas niet meer te kunnen.

vrijdag 8 februari 2019 20:18

Acties:
  • Gtoniser
  • Registratie: Januari 2008
  • Laatst online: 28-11 21:51

Gtoniser

Ja hoor dit kan gewoon. AES encryptie kan ook gewoon teruggedraaid worden, alleen de oudere tools ondersteunen het niet. Je kunt dit gewoon met mimikatz doen (offline op een dump van het register) of met secretsdump.py van impacket op een offline register dump.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq