SID-500

Home » Security » Password Cracking mit fgdump/pwdump

Password Cracking mit fgdump/pwdump

Windows speichert Kennwörter als non-salted NTLM Hash. Die Hashes können im laufenden Betrieb nicht eingesehen werden. Soweit so gut. Nun gibt es aber Programme, die diesen Schutzmechanismus umgehen.

Windows Kennwörter werden in der SAM (Security Account Manager) Datenbank gespeichert. Regedit zeigt diese aber im laufenden Betrieb nicht an:

Unbenannt.PNG

Das Crack Programm fgdump umgeht diese Sicherheit. Fgdump ist ein ausführbares Programm (exe). Der Windows Defender und sonstige Virenscanner sollten beim Download, sowie beim Ausführen deaktiviert sein. Nach dem Ausführen des Programms öffnet man die Datei 127.0.0.1 (wird dort erzeugt, wo fgdump ausgeführt wurde) und wird fündig. Der Inhalt zeigt die Hashes der Kennwörter.

Unbenannt.PNG

Jetzt könnte man den Hashwert des Administrators (ersichtlich nicht aufgrund des Namens – das könnte eine Täuschung sein – sondern aufgrund der SID 500) kopieren und nachsehen, ob dieser in einer Datenbank gespeichert ist.

Hierbei handelt es sich um Rainbow Tables, welche im Internet “zu hauf” zu finden sind. (Windows verwendet non-salted Hashes, daher ergibt jedes gleiche Kennwort, auch denselben Hashwert)

Unbenannt.PNG

Ok, ein Blick auf Result genügt. Die Prügelstrafe wurde schon abgeschafft oder?

Viel Spaß beim Ausprobieren! By the Way: Das funktioniert auch auf einem Domain-Controller mit Domänen-Benutzern. Mehr zum Anzeigen von Hashwerten in meinem Beitrag Get-FileHash: Hash einer Datei anzeigen.


1 Comment

  1. […] Eine Anleitung wie das funktionieren kann habe ich im Artikel Password Cracking mit fgdump/pwdump beschrieben. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com