1. Introducción:
En este texto vamos a tratar las distintas formas de crackear los passwords de Windows NT. Esto nos
puede ser muy útil a la hora de hacer una auditoria de seguridad en nuestro sistema, o para seguir
confirmando las debilidades del M$ Windows NT.
Lo primero que tenemos que hacer es conseguir los passwords hashes (trozos de password cifrados
pero en formato texto ASCII) y hay 3 formas de hacerlo, desde un archivo SAM del disco,
directamente del registro o mediante el uso de un sniffer.
Obteniendo el archivo SAM
Hay 3 formas en la que podemos extraer un password hash de un archivo SAM en el disco rígido,
desde donde el sistema guarda el SAM, del disco de reparación de Windows NT o de una cinta de
backup.
Para obtener el archivo SAM del disco rígido lo podemos encontrar en el directorio
WINNTSYSTEM32CONFIG. Por default este archivo se puede leer pero no lo vamos a poder hacer
mientras Windows NT se este ejecutando porque en ese momento se encuentra abierto de forma
exclusiva por el sistema operativo. Lo que podemos hacer es iniciar la PC con otro sistema operativo
y copiarlo directamente, si lo hacemos desde Linux no vamos a tener problemas porque este soporta
las particiones NTFS de Windows NT; pero si lo queremos hacer desde Windows 9x, deberemos
conseguir un programa como el NTFSDOS que nos permite acceder a la partición NTFS desde una
partición FAT como la de Windows 9x; o sea, que haces un disco de inicio y copias el Ntfsdos en el,
inicias el sistema con este disco y ejecutas el NTFSDOS que lo que hace es montar la partición NTFS
a la FAT y entonces te vas al directorio WINNTSYSTEM32CONFIG y copias el archivo SAM al
disco.
Otra forma de obtener el archivo SAM es mediante el disco de reparación; durante la instalación de
Windows NT una copia del archivo de passwords es puesta en el directorio WINNTREPAIR. En este
archivo ya que se creo durante la instalación solo vamos a encontrar la cuenta del Administrador y la
del Guest y nos va a ser útil solo si el Administrador no cambio la contraseña después de la
instalación; pero si el Administrador actualizo sus discos de reparación entonces si vamos a poder
encontrar una copia de todos los passwords del sistema. En este directorio vamos a encontrar el
archivo SAM pero comprimido como SAM. para poder crackearlo con el L0phtCrack que es uno de los
mejores crackeadores de NT lo hacemos normalmente pero siempre y cuando lo estemos corriendo
bajo Windows NT, si en cambio estamos corriendo el L0phtCrack en Windows 95/98 para poder
importar el SAM. primero vamos a tener que descomprimirlo utilizando el comando "expand" de
Windows NT de la siguiente forma: "expand SAM._ SAM" y luego lo importamos normalmente para
poder crackearlo.
El archivo SAM también queda guardado en las cintas de copia de seguridad cuando se hace un
backup del sistema. Si conseguís una cinta de backup, podes restaurar el archivo SAM de
WINNTSYSTEM32CONFIG a otra computadora para después crackearlo.
La herramienta que vamos a utilizar para crackear los SAM va a ser el L0phtCrack, simplemente
porque es el mejor crackeador de passwords de Windows NT. Una vez que ya tenemos el SAM
tememos que ir al menu "File" y seleccionar la opción "Import SAM File..." que nos va a desplegar un
menú para poder seleccionar el archivo, una vez que ya lo importamos vamos a la opción "Tools" y
seleccionamos la opción "Run Crack", luego de esto es cuestión de tiempo y por supuesto suerte.
Volcando los passwords desde el registro.
Otro método para obtener los password cifrados de un NT, es volcarlos desde el registro. Para hacer
esto vamos a utilizar la opción "Tools Dump Passwords from Registry' de la herramienta L0phtCrack.
Si tenemos privilegios de Administrador podemos volcar los passwords cifrados desde una maquina
2. localmente, o sobre la red si es que la máquina remota tiene permisos de acceso al registro a través
de la red; solamente especificamos el nombre de la computadora o la dirección IP de esta con el
formato común de M$ "nombre de la computadora" o "direccion IP" dentro del cuadro de dialogo de
"Dump Password from Registry" y presionamos OK. Una vez que hicimos todo esto ya tendríamos
cargados los passwords cifrados dentro del L0phtCrack; así que ahora solo debemos proceder a
crackear.
Una cosa a tener en cuenta es que si tenemos la versión en español del Windows NT la palabra
Administrator esta cambiada por Administrador; por lo que el L0phtCrack no nos va a funcionar. Lo
que vamos a hacer es editar el registro de Windows NT y decirle al L0phtCrack que busque por
Administrador y no por Administrator, para esto vamos a editar el registro de la siguiente forma,
usamos el regedit.exe y editamos la siguiente clave:
HKEY_CURRENT_USERSoftwareL0phtL0phtCrackAdminGroupName y cambiamos el valor que
viene por Administrador.
Ademés de todo esto, Microsoft incluyo en el Service Pack 3 la utilidad SYSKEY que lo que hace es
cifrar los passwords hashes, o sea que si el SP3 esta instalado en el sistema no vamos a poder volcar
los passwords del registro; esto por lo menos usando el L0phtCrack, pero todavía podemos usar otra
utilidad gratuita escrita por Todd Sabin llamada PWDUMP2, esta utilidad nos permite obtener los
passwords hashes cifrados con la utilidad SYSKEY y exportarlos a un archivo de texto para después
poder crackearlo con el L0phtCrack. El PWDUMP2 sirve siempre que se use localmente y se tenga
privilegios de Administrador, pero entonces para que nos va a servir con propósitos de hacking?,
bueno porque puede trabajar con cualquier copia del registro. Y recordemos que hay muchos malos
Administradores de un sistema que permiten a los usuarios de dominio conectarse localmente, y que
también durante la instalación han realizado un disco de rescate (rdisk.exe) ya que la opción por
defecto es "Si", y recordemos que cada vez que se ejecuta rdisk.exe NT hace una copia del registro
en %SystemRoot%Repair (normalmente %SystemRoot% es c:winnt). Y los permisos por defecto
para ese directorio son de "lectura" para todos los usuarios.
Tengamos en cuenta que L0phtCrack esta limitado a volcar y abrir 65K de usuarios. Y si la lista de
passwords es larga y tiene mas de 10.000 usuarios pongámonos muy cómodos porque vamos a
esperar un rato...
Usando un sniffer.
Otro método que tenemos es capturar los passwords cifrados estando en una red, si tenemos un
objetivo especifico deberíamos estar en el mismo segmento de red que la víctima. Este método es
muy útil si no tenemos acceso físico ni remoto, o esta instalado el SYSKEY. Para hacer esto vamos a
utilizar la opción "Tools SMB Packet Capture" del L0phtCrack, esto nos abrirá una ventana y ya
estaríamos capturando todas las sesiones de autentificación SMB. En este texto siempre estamos
hablando de la versión 2.5 del L0phtCrack, así que si tenían instalado una versión anterior de esta
herramienta hay remover el driver de red NDIS de la solapa "Protocolos" de la configuración de "Red"
en el "Panel de Control" (esto es en Windows NT). Todos los logueos que vayamos capturando irán
apareciendo en la ventana del SMB Packet Capture, para guardar esto lo podemos hacer con el botón
"Save Capture". Para comenzar a crackear los passwords que capturamos primero los tenemos que
guardar y luego abrir el archivo que se creo. Si dejamos al L0phtCrack uno o dos días capturando
passwords seguramente tendríamos los suficientes como para realizar nuestro objetivo.
¿Donde conseguir los programas que necesitamos?
Aquí se muestra donde conseguir y una breve reseña de todos los programas que se mencionan
durante el desarrollo del articulo; también los podes bajar de la web de Ezkracho:
http://www.ezkracho.piratas.org/ pero igualmente se va a poner la fuente original de estos.
3. NTFSDOS.
El Ntfsdos lo podemos encontrar en http://www.systernals.com/ntfs20r.zip y como ya se explico nos
sirve para acceder a una partición NTFS desde una partición FAT, no hace falta decir cual es la gran
ventaja de esto.
L0phtCrack.
El L0phtCrack lo podemos encontrar en http://www.l0pht.com/l0phtcrack/ la última versión que
podemos encontrar hasta el momento es la 2.5 que se puede usar durante un periodo de prueba por
15 días, luego vamos a necesitar registrarlo para continuar con su uso. El método mas rápido para
crackear un password es mediante una ataque de diccionario, podemos usar el diccionario que viene
con el L0phtCrack que es chico pero muy efectivo o también buscar en la red un diccionario mucho
mas grande que seguro hay muchos dando vuelta. Otro método que utiliza L0phtCrack es el llamado
"híbrido" que lo que hace es a las palabras que encuentra en el diccionario agregarles letras o
símbolos, por ejemplo hay gente que pone su nombre con símbolos al final o intermedio, Juan$$Perez
o JuanPerez!!. El tercer y último método que utiliza el L0phtCrack es el de Fuerza Bruta que ya todos
saben como funciona, este es el método mas seguro y descifra la clave sin ninguna duda, solo es
cuestión de tiempo...
PWDUMP2.
El PWDUMP2 es un programa gratuito escrito por Todd Sabin y lo podemos encontrar en
http://www.webspan.net/~tas/pwdump2/. Para una mayor descripción de como conseguir los
passwords hashes para usarlos con esta utilidad ver en la pagina web de esta utilidad. Cabe acotar
que el uso de PWDUMP2 en conjunto con L0phtCrack es una excelente arma, para realizar auditorias
por supuesto...