Как открыть файл sam в system32

Обновлено: 21.11.2024

Я воспользовался тестовыми машинами с помощью metasploit и смог получить хэши из файла SAM; Я пробовал запускать команды как SYSTEM, чтобы получить их, но не могу этого сделать. Какой более переносимый метод извлечения хэшей из файла SAM?

5 ответов 5

Есть более простое решение, не требующее управления теневыми томами или использования внешних инструментов. Вы можете просто скопировать SAM и SYSTEM с помощью команды reg, предоставленной Microsoft (проверено на Windows 7 и Windows Server 2008):

(последний параметр — это место, куда вы хотите скопировать файл)

Затем вы можете извлечь хэши в системе Linux с помощью пакета samdump2 (доступно в Debian: apt-get install samdump2 ):

На каких версиях Windows это работает (или, скорее, на каких нет)? пытался сказать с веб-сайта MSDN, но он не указан (по крайней мере, я этого не видел)

это просто сбрасывает локальные учетные записи. чтобы получить кешированные кредитные данные домена, вам также необходимо получить SECURITY из реестра. затем вы можете запустить: python /usr/share/doc/python-impacket/examples/secretsdump.py -sam SAM -security SECURITY -system LOCAL, чтобы сбросить все кэшированные кредиты.

Это не проблема с правами доступа — Windows сохраняет эксклюзивную блокировку файла SAM (что, насколько мне известно, является стандартным поведением для загруженных кустов реестра), поэтому любой другой процесс не может его открыть.

Однако в последних версиях Windows есть функция "Теневое копирование тома", предназначенная для создания доступных только для чтения моментальных снимков всего тома, в основном для резервных копий. Файловые блокировки предназначены для обеспечения согласованности данных, поэтому в них нет необходимости, если делается снимок всей файловой системы. Это означает, что можно создать снимок C: , смонтировать его, скопировать файл SAM, а затем удалить снимок.

Как именно это сделать, зависит от вашей версии Windows: для XP нужна внешняя программа, для Vista и 7 требуется vssadmin create shadow , а для Server 2008 есть команда diskshadow. На странице Безопасный сброс хэшей с работающих контроллеров домена есть более подробная информация об этом процессе, а также инструкции и сценарии.

В качестве альтернативы существуют такие инструменты, как samdump, которые злоупотребляют процессом LSASS с разных сторон, чтобы извлечь все хэши паролей непосредственно из памяти. Они могут быть намного быстрее, чем моментальные снимки VSS, но имеют более высокий риск сбоя системы.

Наконец, Google показывает этот фрагмент, полезность которого я не могу оценить, так как сам никогда не использовал metasploit:

Диспетчер учетных записей безопасности (SAM) — это файл базы данных [1] в Windows XP, Windows Vista и Windows 7, в котором хранятся пароли пользователей. Его можно использовать для аутентификации локальных и удаленных пользователей. Начиная с Windows 2000 SP4, Active Directory используется для аутентификации удаленных пользователей. SAM использует криптографические меры для предотвращения доступа запрещенных пользователей к системе.

Пароли пользователей хранятся в хешированном формате в кусте реестра либо в виде хэша LM, либо в виде хэша NTLM. Этот файл находится в папке %SystemRoot%/system32/config/SAM и смонтирован в HKLM/SAM .

В попытке улучшить защиту базы данных SAM от взлома программного обеспечения в автономном режиме Microsoft представила функцию SYSKEY в Windows NT 4.0. Когда SYSKEY включен, копия файла SAM на диске частично шифруется, поэтому хэш-значения паролей для всех локальных учетных записей, хранящихся в SAM, шифруются с помощью ключа (обычно также называемого «SYSKEY»). Его можно включить, запустив программу syskey.

Где найти SAM/хэши?

Как скопировать файл Сэма?

Есть два Пути.
1) Когда ОС (операционная система) работает.
2) Когда ОС не запущена.

Когда работает ОС

Когда ОС не запущена

по шагам

Получены хэши? Теперь взломайте их:

С хэшами на руках и желанием узнать, какие пароли ждут вас.
Приступим к делу. Хотя существует множество программ для
взлома паролей, я кратко расскажу о двух наиболее популярных из них.

Джон Потрошитель -

John the Ripper для многих является старым резервным взломщиком паролей. Это командная строка,
которая очень удобна, если вы пишете сценарии, и, что самое главное, она бесплатна.
Единственная реальная вещь, которой не хватает JtR, — это способность запускать атаки грубой силы
против вашего файла паролей. Но посмотрите на это с другой стороны, хотя это всего лишь взломщик
словарей, этого, вероятно, будет все, что вам нужно. Я бы сказал, что
по моему опыту, я могу найти около 85-90% паролей в заданном файле, используя только
атаку по словарю. Не плохо, совсем не плохо.

L0phtCrack-

Возможно, это самый популярный взломщик паролей. L0phtCrack
продается людьми из @Stake. А учитывая цену в 249 долларов за лицензию для одного пользователя,
похоже, что она есть у каждого. Мальчик, @Stake, должно быть, зарабатывает деньги. :) Это, вероятно, лучший взломщик паролей, который вы когда-либо видели. С возможностью
импорта хэшей напрямую из реестра, как pwdump и словарь, гибридными возможностями и возможностями
грубой силы. Ни один пароль не должен длиться долго. Ну, я не должен говорить
"нет пароля". Но почти все упадет на L0phtCrack, если будет достаточно времени.


Еще один простой способ взлома с помощью ophcrack

Учетная запись администратора:

Ophcrack – это взломщик паролей Windows, основанный на компромиссе времени и памяти с использованием радужных таблиц. Это новый вариант оригинального компромисса Хеллмана с лучшей производительностью. Он восстанавливает 99,9 % буквенно-цифровых паролей за считанные секунды.

Это тип взлома в автономном режиме. Просто скачайте .iso из ophcrack отсюда. Запишите его и наслаждайтесь использованием.
1. Opchrack может взламывать пароли для Windows 7, Windows Vista и Windows XP.
2. Ophcrack может восстановить 99,9% паролей из Windows XP, как правило, за считанные секунды. Любой пароль из 14 символов или меньше, в котором используется любая комбинация цифр, строчных и заглавных букв, должен поддаваться взлому.
3. Ophcrack может восстановить 99% паролей из Windows 7 или Windows Vista. Атака по словарю используется в Windows 7 и Vista.
4. Опция Ophcrack LiveCD позволяет полностью автоматически восстанавливать пароль.
5. Метод LiveCD не требует установки в Windows, что делает его безопасной альтернативой многим другим инструментам для восстановления пароля.
6. Чтобы взломать пароли Windows с помощью Ophcrack LiveCD, не нужно знать пароли Windows.

Создание собственного пароля в Windows:

Внедрение хэшей паролей в файл SAM. Самый простой способ получить права администратора на компьютере – это добавить собственные хэши паролей в файл SAM. Для этого вам понадобится физический доступ к машине и мозг больше арахиса. Используя утилиту под названием "chntpw" от Петтера Нордхала-Хагена, вы можете вставить любой пароль, который пожелаете, в SAM-файл любой машины с NT, 2000 или XP, тем самым предоставив вам полный контроль, просто запишите .iso на диск и используйте его. Я бы дал совет, например, сначала сделайте резервную копию файла SAM с помощью альтернативной ОС. Сделайте USB-диск с Linux или Windows Live dsik также может работать. Заходите, вводите выбранный вами пароль. Войдите, используя новый пароль. Делайте то, что вам нужно сделать. Затем восстановите оригинальный SAM, чтобы никто не узнал, что меня взломали.


Некоторые советы по безопасности ~ Создание надежных паролей:

13 июля корпорация Майкрософт выпустила CVE-2021-33757, в которой шифрование AES по умолчанию включено для удаленного подключения по протоколу для MS-SAMR, чтобы смягчить переход на RC4, который раскрывал данные через небезопасное шифрование. Впоследствии Microsoft выпустила исправление для уязвимости KB5004605, в котором были внесены изменения, связанные с протоколом MS-SAMR. Microsoft заявила в документации к патчу:

После установки обновлений Windows от 13 июля 2021 г. или более поздних обновлений Windows шифрование Advanced Encryption Standard (AES) будет предпочтительным методом на клиентах Windows при использовании устаревшего протокола MS-SAMR для операций с паролями, если шифрование AES поддерживается SAM-сервер.

По словам Кевина Бомонта (пользователь Твиттера @GossiTheDog), 19 июля в Windows 10 была обнаружена уязвимость, позволяющая пользователям, не являющимся администраторами, получать доступ к базе данных Security Account Manager (SAM), в которой хранятся пароли пользователей. Кевин Бомонт назвал уязвимость HiveNightmare, также известной как SeriousSam.

Это было подтверждено для последней версии Windows 10, по словам Бенджамина Дельпи, создателя MimiKatz (пользователь Твиттера @gentilkiwi).

Кажется, это также появляется при обновлении Windows 10 до другой версии Windows 10…

Проверьте, включено ли у вас теневое копирование для защиты системы… (но оно включено по умолчанию…)

Вывод: обновленная версия Windows 10 (или 11) + включена защита системы (по умолчанию) = уязвима

— 🥝 Бенджамин Дельпи (@gentilkiwi), 19 июля 2021 г.

Куст SYSTEM также был открыт во время изменения Microsoft ACL в Windows, что означает, что все учетные данные отображаются в хешированной форме.

Насколько это плохо?

Файлы базы данных учетных данных SYSTEM и SAM были обновлены и теперь включают набор ACL для чтения для всех пользователей для некоторых версий Windows. Это означает, что любой аутентифицированный пользователь имеет возможность извлечь эти кэшированные учетные данные на хосте и использовать их для автономного взлома или передачи хэша в зависимости от конфигурации среды. На данный момент это было выявлено только на обновленных конечных точках Windows 10, однако возможно, что затронуты серверы Windows.

Следующие сборки были идентифицированы как затронутые на данный момент:

  • 1809 ИСО – 21 июня – 20 поля 20 года.
  • ISO 1909 г. – 21 июня – 20 пол. года.
  • 20H2 ISO-оригинал — 21H1
  • Инсайдерская версия 21H1 ISO-June21 – 11 (Windows 11)

Вы можете определить свою сборку, взглянув на winver в меню "Выполнить" (Win + R)

По состоянию на 20 июля 21 года эта схема атаки была доказана и представляет собой потенциальный путь повышения привилегий для злоумышленников. Если администратор компьютера или домена недавно вошел на хост, на который повлияло это изменение, его хешированные учетные данные будут кэшированы на хосте в этих файлах. Это потенциально может предоставить злоумышленнику полный доступ к вашей среде, не требуя эскалации до администратора для доступа к этим учетным данным.

Что мне делать?

Мы рекомендуем подождать, пока Microsoft выпустит меры по исправлению. А пока вы можете сделать несколько вещей:

  • Отслеживайте доступ SAM к самому узлу, чтобы определить, не пытается ли злоумышленник выполнить дамп и эскалацию.
  • Подготовьтесь к исправлению, когда Microsoft выпустит исправление или решение этой проблемы. Это самый безопасный способ отреагировать на эту проблему, поскольку корпорации Майкрософт потребуется развернуть внесенные ими изменения ACL.
  • Если компьютер имеет решающее значение для вашей среды с точки зрения безопасности, сбросьте ACL до значений по умолчанию для затронутой папки. Это действие сопряжено с некоторым риском, поскольку вы будете изменять ACL, установленные обновлением Windows. Однако до сих пор в нашем тестировании это не оказывало негативного влияния на хост, но это не означает, что оно не повлияет на другие машины в зависимости от конфигурации.
    • Из командной строки Powershell администратора
      Get-ChildItem -File -Force $env:WINDIR\system32\config | ForEach-Object < icacls $_.FullName /reset

    Как обнаружить

    Blumira рекомендует отслеживать действия с базами данных HKLM System, Security и SAM во всех системах. Из-за этого неправильного изменения ACL со стороны Microsoft теперь еще более приоритетно отслеживать эти действия. Ниже приведен пример использования Sysmon для отслеживания действий reg.exe в отношении файлов System, Security или SAM.

    Для этого могут потребоваться некоторые изменения в зависимости от вашей SIEM, например экранирование косых черт и форматирование соответствия регулярным выражениям. Клиенты Blumira, использующие Sysmon, уже развернули это правило в своих средах.

    windows_log_source="Microsoft-Windows-Sysmon" И имя_процесса КАК "%reg.exe%" И REGEXP_CONTAINS(команда, "HKLM\\\\system|HKLM\\\\security|HKLM\\\\sam")

    Blumira также рекомендует контролировать WMIC, Shadow-Copy и любые действия, связанные с созданием экземпляра Mimikatz, которые могут использовать эту уязвимость.

    Обновление от 21.07.21 (любезно предоставлено пользователем Reddit u/eider96)

    • Это не имеет ничего общего с KB5004605
    • Доступ RX для BU\Users не позволяет получить прямой доступ к этим файлам, поскольку они защищены. Доступ к ним возможен только в том случае, если ранее с этими файлами был сделан моментальный снимок VSS (это действие по умолчанию с учетом истории файлов или системы). восстановление включено). Непривилегированные пользователи могут использовать такие снимки и использовать неправильные разрешения для извлечения из них файлов. Права администратора не требуются для чтения снимка, они доступны напрямую через \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy, где находится номер снимка. Администраторы могут составить список всех моментальных снимков с помощью vssadmin list shadows .
    • Предоставленный фрагмент PS предназначен не только для защиты системы. Также рассмотрите существующие моментальные снимки и либо удалите их, либо примите на себя риск и позвольте им быть перезаписанными с течением времени.
    • Поскольку файлы могут быть скопированы в автономном режиме из моментального снимка VSS, а затем проверены вручную или загружены в отдельную систему, отслеживание действий против этих кустов не гарантирует каких-либо значимых результатов в отношении этой конкретной уязвимости. изменить или загрузить куст онлайн, чтобы извлечь кэшированные учетные данные из восстановленных файлов.

    Обновление от 21.07.21 (любезно предоставлено пользователем Reddit u/Oscar_Geare):

    Microsoft выпустила CVE для этой уязвимости. В CVE указано, что это влияет на все версии 1809 и новее.Кроме того, есть обходной путь:

    Ограничить доступ к содержимому %windir%\system32\config

    Откройте командную строку или Windows PowerShell от имени администратора.

    Выполните эту команду: icacls %windir%\system32\config\*.* /inheritance:e

    Удаление теневых копий службы теневого копирования томов (VSS)

    Удалите все точки восстановления системы и теневые тома, существовавшие до ограничения доступа к %windir%\system32\config.

    Создайте новую точку восстановления системы (при желании).

    Наши комментарии (21.07.21):

    Удаляйте теневые копии только в том случае, если вы знаете, что они вам не нужны. Проверка резервных копий идеальна, и вы можете использовать тени списка vssadmin, чтобы увидеть большинство ваших теневых копий.

    Поскольку за последние несколько недель надежность исправлений Microsoft сильно пострадала, было бы неплохо протестировать исправление после его установки.

    Обновление — обнаружение и проверка на будущее (21.07.21, 12:45 по восточному времени)

    Поскольку изменения ACL, произошедшие на хосте, отравили VSS, вы можете предпринять некоторые шаги для защиты системы. Это включает в себя удаление моментальных снимков VSS после разрешения списков ACL или, по крайней мере, защиту этих моментальных снимков VSS до тех пор, пока они не будут исправлены и не будут заменены новыми снимками.

    Blumira в настоящее время тестирует и внедряет для этого три отдельных обнаружения, одно из которых более перспективно и обеспечивает видимость файлов кустов, находящихся внутри VSS. Для этих обнаружений либо требуется Sysmon, либо вы определили расширенный аудит на хостах с помощью объектов групповой политики, таких как Logmira от Blumira.

    Идентификация запусков HiveNightmare на основе жестко заданных шаблонов строк с помощью Sysmon. Этого будет легко избежать для многих злоумышленников, но это позволит определить повторное использование существующих атак.
    type='windows' И windows_log_source='Microsoft-Windows-Sysmon' И windows_event_id в (1,5,11) И ((process_name LIKE '%HiveNightmare%') или (regexp_contains(target, '(?i )S.*haxx$')))

    Идентификация Powershell, ссылающегося на конфиденциальные файлы Hive в VSS, с помощью ведения журнала блоков сценариев. Это предполагает, что ваш блок сценария входит в информационный столбец и использует флаг без учета регистра (?i). *Для Powershell необходимо включить ведение журнала блоков сценариев.*
    type='windows' AND windows_event_id=4104 AND REGEXP_CONTAINS(info, r'(?i)\\GLOBALROOT\\Device\ \HarddiskVolumeShadowCopy\d \\Windows\\System32\\config\\(system|security|sam)')

    Идентификация чтения конфиденциальных файлов Hive всеми на хосте с помощью SACL, которые передаются в VSS. Это позволяет значительно повысить видимость любого доступа к улью в нашем тестировании. Это не изменит ваш существующий VSS, пока не будет записана другая точка восстановления. *Требуется, чтобы GPO доступа к объектам было включено (RE Logmira) и чтобы был запущен следующий Powershell, чтобы включить это обнаружение.*
    type='windows' AND windows_event_id=4663 AND REGEXP_CONTAINS(object_name , r'(?i)Device\\HarddiskVolumeShadowCopy\d\\Windows\\System32\\config\\(system|security|sam)')
    Вам также потребуется запустить следующий Powershell, чтобы включить аудит SACL для файлов куста, которые затем будут приняты VSS. Этот сценарий добавляет правило аудита ReadData Success для всех, что позволяет в будущем видеть всех пользователей, имеющих или не имеющих разрешений, получающих доступ к файлам куста.
    $files = @("C:\Windows\System32\config\system","C:\Windows\System32\config\sam","C:\Windows\System32\config\security")

    Foreach ($file в $files)

    Дополнительные ресурсы

    Попробовать Blumira бесплатно

    Blumira может обнаруживать действия, связанные с базами данных HKLM System, Security и SAM, а также многие другие инциденты безопасности.

    Бесплатную пробную версию Blumira легко развернуть; ИТ-специалисты и специалисты по безопасности сразу же увидят преимущества безопасности для своих организаций.

    Подпишитесь на бесплатную пробную версию, чтобы начать обнаруживать и устранять уязвимости, связанные с уязвимостями Windows:

    Новости и истории безопасности прямо на вашу почту!

    Подписываясь, вы соглашаетесь с нашей Политикой конфиденциальности. Вы можете в любой момент отказаться от подписки одним щелчком мыши.

    Начать бесплатную пробную версию

    "Что мне действительно понравилось в Blumira, так это простота развертывания — мы установили и запустили менее чем за час".

    После выбора источника базы данных (SAM, DCC или AD) и режима работы вам будет предложено выбрать операционную систему для работы. Если в вашей системе используются нестандартные адаптеры запоминающих устройств, такие как SCSI или SAS, которые не поддерживаются ESR, вам может потребоваться добавить драйверы; подробности см. в разделе Драйверы запоминающих устройств. При автоматическом выборе вы можете выбрать системную папку из раскрывающегося списка:

    В случае ручного выбора вам необходимо выбрать расположение базы данных AD и файла системного реестра с помощью файла [. ] справа:

    В качестве альтернативы выберите расположение файлов SAM, SECURITY и SYSTEM:

    В ручном режиме мы рекомендуем сначала выбрать расположение файла SYSTEM, чтобы расположение SAM/SECURITY (или базы данных AD) было заполнено автоматически. Расположение файлов SAM, SECURITY и SYSTEM по умолчанию:

    База данных AD (ntds.dit) обычно хранится в следующей папке:

    Если вы не видите локальные диски при просмотре файлов SAM/SECURITY/SYSTEM/AD, это может означать, что у вас не установлены необходимые драйверы, такие как SerialATA, SCSI или RAID. Вам может потребоваться указать их в процессе загрузки (подробности см. в разделе Загрузка с компакт-диска или UFD-диска).

    Если в вашей системе используется нестандартный режим SYSKEY (т. е. SYSKEY не хранится в реестре), программа запросит у вас пароль для запуска или дискету SYSKEY. Если вы их не предоставите, хэши паролей нельзя будет извлечь, и вы не сможете изменить пароли или свойства учетных записей или даже сбросить хэши паролей в текстовый файл.

    Если вы выбрали вариант «Проверять короткие и простые пароли», ESR попытается восстановить пароли, используя несколько предопределенных атак по словарю и методом полного перебора. Он также попытается расшифровать пароли, которые могут быть сохранены или кэшированы в других файлах. Хотя эта атака не может восстановить много паролей, она занимает всего несколько минут и помогает восстановить короткие и простые пароли. Эти пароли будут проверены:

    • Очевидные комбинации, такие как пароли, совпадающие с именами для входа

    • Сохраненные пароли удаленного доступа

    • Пароли из секретов (файл реестра SECURITY)

    • Пароли от некоторых браузеров можно мгновенно расшифровать

    o 4 символа (заглавные буквы, цифры, 16 символов)

    o Пароли из словаря

    o Пароли из словаря с одной цифрой в конце

    o 4 символа (маленькие, цифры, 16 символов)

    o 4 символа (маленькие, заглавные)

    o 5 символов (маленьких)

    o 5 символов (заглавными)

    o 7 символов (цифр)

    o 3 символа (все символы)

    o Пароли из словаря

    o Повторяющиеся комбинации (например, "00000", "ааа" и т. д.)

    o Комбинации клавиш (например, "qwerty")

    o Комбинации клавиатуры в раскладке OEM

    После этого программа создает несколько различных мутаций для паролей, найденных на предыдущих шагах, и пытается применить их ко всем учетным записям.

    Читайте также: