Многим системным администраторам, опытным пользователям и разработчикам программного обеспечения известен ресурс www.nirsoft.net , автором которого является Nir Sofer — опытный разработчик с обширными знаниями в C++, NET Framework, Windows API и в области обратного проектирования недокументированных двоичных форматов и алгоритмов шифрования. Уже более 15 лет на сайте размещается информация и уникальные программные продукты, завоевавшие популярность в среде системных администраторов и опытных пользователей. На страницах сайта можно найти огромное количество небольших специализированных программ для анализа работоспособности Windows, поиска причин синих экранов смерти, анализа сетевой активности и т.п. Большое внимание автор уделил программам для восстановления забытых паролей – группе Password Recovery Tools .
В данном разделе сайта представлены бесплатные программы для восстановления паролей приложений Windows, включая браузеры, почтовые клиенты, программы для обмена сообщениями, пароли для удаленных подключений и т.п.
Как узнать пароль от Windows через WiFi ?
При желании, вы можете скачать весь пакет программ одним архивом (файл passrecenc.zip)
Архив защищен паролем, как и большинство других архивов, содержащих программы восстановления паролей. На данный момент пароль — nirsoft123! , однако, автор может его сменить, уточняйте в описаниях программ.
В связи с тем, что в программах восстановления паролей используются специфические алгоритмы, многими антивирусными программами они определяются как вредоносное ПО ( infected with Virus/Trojan ). Авторский сайт периодически попадает под санкции антивирусных продуктов и поисковых систем, что стало причиной того, что часть функций программ восстановления паролей была удалена. В частности, с 2014 года, в программах восстановления паролей больше нет поддержки экспорта дешифрованных паролей в файл через параметры командной строки. Подробнее об этом — в блоге NirSoft. Следующая таблица содержит ссылки на страницы с наиболее распространенными утилитами для восстановления паролей и их краткое описание:
Большинство из перечисленных программ не использует хранение своих данных в реестре Windows и может использоваться в переносимом варианте (portable software).
Для получения дополнительных сведений о способах хранения паролей в реестре и файловой системе, можете обратиться к статьям:
Пароли в реестре и файловой системе Windows — места хранения паролей к системным ресурсам и приложениям Windows.
Восстановление паролей к GPON ZTE ZXA10 F660. — технические особенности модема ZTE ZXA10 F660 и их использование для восстановления забытых паролей.
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
Источник: admcomp.ru
Как взломать пароль Windows. Обходим защиту Microsoft.
Listen to this article
Что делать если забыл пароль от компьютера? Это руководство подскажет, как поступить, если вы забыли пароль Windows и как решить эту проблему без переустановки операционной системы. Кроме того, мы рассмотрим и другие возможные проблемы с паролями.
Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз.
Не каждый пользователь использует пароль на Windows — особенно редко пользователи устанавливают пароль на домашнем компьютере, за которым работает один человек. Но в условиях корпоративной сети или при использовании Windows в качестве сервера, пароль является обязательным. Ещё одно интересное свойство пароля пользователя Windows: если пользователь завёл онлайн учётную запись Microsoft, то хеш пароля всё равно хранится на локальном компьютере, но расшифрованный пароль подойдёт и для локального компьютера, и для онлайн сервисов Microsoft.
В крайних версиях windows используется более эффективная система паролей, рассчитанная на применение в бизнесе, чтобы никто без необходимых полномочий не смог получить доступ к информации на вашем компьютере. Это палка о двух концах. Большинство пользователей хотя бы раз забывает какой-то важный пароль. И тогда «врагом без прав доступа» для своего компьютера становится сам пользователь/владелец информации.
Естественно, для каждого способа защиты есть способ его обойти, особенно, если у вас есть физический доступ к компьютеру.
Где Windows хранит пароль входа?
В Windows уже давно для хранения паролей всех пользователей и управления ими используется система SAM. Вся информация в ней хорошо защищена, поэтому для того чтобы узнать пароль, придётся затратить кучу времени и ресурсов, особенно если он достаточно сложный. Чаще всего, однако, вовсе не требуется именно узнать пароль — достаточно сбросить его или поменять.
Для этого разработано несколько утилит. Ещё один важный момент — очевидно, что, когда ОС запущена, она не позволит просто так влезать в хранилище паролей. Поэтому надо убедиться, что компьютер поддерживает загрузку с CD/DVD- или USB-носителя, чтобы запустить нужные утилиты.
Пароли пользователей Windows хранятся в кустах (hives) реестра Windows под названием SYSTEM и SAM в файлах:
- C:/Windows/System32/config/SAM
- C:/Windows/System32/config/SYSTEM
Вместо пароля в виде простого текста, Windows хранит хеши паролей. Эти хеши легко поддаются брут-форсу, но даже без взлома хеши паролей Windows можно использовать для сбора данных и выполнения атак.
Как получить хеши паролей Windows?
Дамп хешей паролей Windows на работающем компьютере
На запущенной системе проблематично получить доступ к файлам C:/Windows/System32/config/SAM и C:/Windows/System32/config/SYSTEM, хотя это и возможно. Для сохранения копий этих файлов можно использовать утилиту reg, а именно следующие команды:
reg save HKLMSYSTEM SystemBkup.hiv reg save HKLMSAM SamBkup.hiv
В некоторых инструкциях вместо SYSTEM сохраняют куст SECURITY — это ошибка, с кустами SECURITY и SAM восстановить хеш не удасться, нужны именно SYSTEM и SAM!
Хеш пароля также содержится в оперативной памяти, а именно в процессе Local Security Authority Process (lsass.exe). Этот процесс всегда запущен в работающей Windows и можно сделать его дамп (копию процесса в оперативной памяти сохранить на диск в виде файла). Для создания дампа можно использовать различные утилиты, в том числе две официальные:
- ProcDump
- Диспетчер задач
Диспетчер задач уже имеется в каждой Windows, чтобы его открыть нажмите Win+r и наберите taskmgr, затем нажмите ENTER. Либо правой кнопкой мыши нажмите на панель задач (то есть на нижнюю полоску, где находятся часы, кнопка пуск и т. д.) и в контекстном меню выберите «Диспетчер задач».
В Диспетчере задач нажмите «Подробнее» и во вкладке «Процессы», в разделе «Процессы Windows» найдите Local Security Authority Process, нажмите на него правой кнопкой мыши и выберите в контекстном меню пункт «Создать файл дампа»:
Файл будет сохранён по пути C:UsersПОЛЬЗОВАТЕЛЬAppDataLocalTemplsass.DMP. У меня имя пользователя MiAl и путь до файла C:UsersMiAlAppDataLocalTemplsass.DMP.
Дамп хешей паролей Windows на выключенном компьютере
На выключенном компьютере для последующего извлечения пароля пользователя достаточно скопировать файлы:
- C:/Windows/System32/config/SAM
- C:/Windows/System32/config/SYSTEM
Эти же файлы можно найти в резервной копии Windows или в Shadow копии диска, либо скопировать загрузившись с Live системы.
Чем различаются хеши NTLM и NTLMv1/v2 и Net-NTLMv1/v2
Сейчас мы будем охотиться за хешем NTLM. На самом деле, NTLM и NTLMv1/v2 это довольно разные вещи. Хеш NTLM хранится и используется локально, а хеши NTLMv1/NTLMv2 используются для сетевой аутентификации и являются производными хеша NTLM. Используя любой из этих хешей можно расшифровать пароль пользователя Windows, но это разные алгоритмы шифрования/взлома.
Для атаки Pass-the-hash (мы рассмотрим её в этой статье) применим только хеш NTLM, а хеши NTLMv1/NTLMv2 не подходят.
Остался ещё один вопрос, что такое хеши Net-NTLMv1/v2. Хеши Net-NTLMv1/v2 это сокращённое название для хешей NTLMv1/v2, то есть NTLMv1/v2 и Net-NTLMv1/v2 это одно и то же. А NTLM это другое.
В этой статье мы будем извлекать, взламывать и эксплуатировать без взлома хеш NTLM.
Что такое mimikatz?
Программа mimikatz хорошо известна за возможность извлекать пароли в виде простого текста, хеши, ПИН коды и тикеты kerberos из памяти. mimikatz также может выполнять атаки pass-the-hash, pass-the-ticket или строить Golden тикеты.
В этой инструкции мы рассмотрим только способность mimikatz извлекать хеши NTLM. Помните, у mimikatz есть и другие очень интересные функции — посмотрите, какая у неё обширная справка: https://kali.tools/?p=5342
Имеются реализации mimikatz в Meterpreter функции извлечения хешей из дампов или расшифровки из файлов реестра должны работать в Linux.
Как установить mimikatz в Windows?
mimikatz — это портативная утилита командной строки. То есть установка не требуется, но нужно уметь запустить, если вы не очень знакомы с командной строкой.
1. Перейдите на страницу https://github.com/gentilkiwi/mimikatz/releases, скачайте файл mimikatz_trunk.7z или mimikatz_trunk.zip. Распакуйте скаченный архив.
2. Откройте PowerShell (Win+x → Windows PowerShell (администратор)) или командную строку (Win+r → cmd).
3. В командной строке с помощью команды cd перейдите в папку с исполнимым файлом mimikatz.exe. К примеру, архив распакован в папку C:UsersMiAlDownloads, тогда исполнимый файл будет в папке C:UsersMiAlDownloadsmimikatz_trunkx64:
cd C:UsersMiAlDownloadsmimikatz_trunkx64
4. Запустите исполнимый файл.
.mimikatz.exe
Как извлечь хеш пароля пользователя NTLM из файлов реестра?
Следующие команды нужно выполнять в консоли mimikatz.
Команда log включает запись всего вывода в ФАЙЛ:
log ФАЙЛ
К примеру, для запуска всего вывода в файл hash.txt:
log hash.txt
Я скопировал с выключенного компьютера файлы SYSTEM и SAM, теперь для извлечения хеша мне нужно запустить команду вида:
lsadump::sam /system:C:путьдоSYSTEM /sam:C:путьдоSAM
Пример моей команды:
lsadump::sam /system:C:Share-ServerfilesSYSTEM /sam:C:Share-ServerfilesSAM
Вывод довольно обширный и много не до конца понятных данных. Интерес представляют последовательно идущие строки вида:
User : ПОЛЬЗОВАТЕЛЬ Hash NTLM: ХЕШ
В моём примере интересные строки:
User : ShareOverlord Hash NTLM: 7ce21f17c0aee7fb9ceba532d0546ad6 User : Alexey Hash NTLM: ca76a176340f0291e1cc8ea7277fc571
Также есть строки с именами пользователей:
User : MiAl User : Администратор
Но после них нет строк с хешем NTLM, поскольку у этих пользователей не установлен пароль в системе.
Если вы хотите извлечь данные из файлов реестра текущей операционной системы, то выходим из mimikatz, для этого нажмите Ctrl+c.
Теперь сделаем дамп кустов реестра SYSTEM и SAM текущей системы:
reg save HKLMSYSTEM SystemBkup.hiv reg save HKLMSAM SamBkup.hiv
Вновь запускаем mimikatz:
.mimikatz.exe
Включаем ведение журнала:
log hash-local.txt
И выполняем команду с указанием файлов, в которые сохранены дампы кустов реестра, то есть SystemBkup.hiv и SamBkup.hiv:
lsadump::sam /system:SystemBkup.hiv /sam:SamBkup.hiv
Здесь найден только один пользователь с хешем:
User : Администратор Hash NTLM: 5187b179ba87f3ad85fea3ed718e961f
На самом деле, для извлечения хешей NTLM из локальной системы необязательно было делать дамп кустов реестра. Другой вариант — повысить привилегии самой программы mimikatz и извлечь хеши непосредственно из системы. Для этого выполните команды:
privilege::debug token::elevate log hash-local2.txt lsadump::sam
Извлечение хеша NTLM из дампа lsass.DMP
По логике (и на практике) в дампе процесса Local Security Authority Process должен быть хеш только пользователя, выполнившего вход с паролем.
Вначале укажите путь до файла дампа командой вида:
sekurlsa::minidump C:путьдоlsass.DMP
sekurlsa::minidump C:Share-Serverfileslsass.DMP
Затем выполните команду:
sekurlsa::logonPasswords
Брут-форс хеша NTLM
Для взлома я возьму следующий хеш:
User : Alexey Hash NTLM: ca76a176340f0291e1cc8ea7277fc571
Загляним в справку Hashcat, чтобы узнать номер режима хеша NTLM:
1000 | NTLM | Операционные системы
То есть номер хеша NTLM равен 1000.
Чтобы запустить атаку по маске для взлома NTLM в Hashcat нужно выполнить команду вида:
hashcat -m 1000 -a 3 ‘ХЕШ’ МАСКА
Пример моей реальной команды:
hashcat —force —hwmon-temp-abort=100 -m 1000 -D 1,2 -a 3 -i —increment-min 1 —increment-max 10 -1 ?l?d ca76a176340f0291e1cc8ea7277fc571 ?1?1?1?1?1?1?1?1?1
- hashcat — имя исполнимого файла. В Windows это может быть hashcat64.exe.
- —force — игнорировать предупреждения
- —hwmon-temp-abort=100 — установка максимальной температуры, после которой будет прерван перебор, на 100 градусов Цельсия
- -m 1000 — тип хеша NTLM
- -D 1,2 — означает использовать для взлома и центральный процессор, и видеокарту
- -a 3 — означает атаку по маске
- -i — означает постепенно увеличивать количество символов в генерируемых паролях
- —increment-min 1 — означает начать с длины маски равной единице
- —increment-max 10 — означает закончить перебор при длине маске равный десяти
- -1 ?l?d — пользовательский набор символов номер 1, в него включены маленькие латинские буквы (?l) и цифры (?d)
- ca76a176340f0291e1cc8ea7277fc571 — хеш для взлома
- ?1?1?1?1?1?1?1?1?1 — маска из пользовательского набора символов
Взломаем ещё один хеш:
User : Администратор Hash NTLM: 5187b179ba87f3ad85fea3ed718e961f
Команда (другой хеш и другой набор пользовательских символов):
hashcat —force —hwmon-temp-abort=100 -m 1000 -D 1,2 -a 3 -i —increment-min 1 —increment-max 10 -1 ?l?u?d 5187b179ba87f3ad85fea3ed718e961f ?1?1?1?1?1?1?1?1?1
Ещё раз призываем наших читателей быть внимательными и аккуратными при работе с внутренностями ОС, а ещё лучше не доводить ситуацию до «хирургического» вмешательства в SAM. Удачного вам восстановления доступа к учётным записям!
Источник: rucore.net
Как узнать пароль от компьютера
Ответ на вопрос о том, как узнать пароль от компьютера, волнует многих пользователей, поскольку для этого может быть несколько причин, самой распространенной из которых является банальная забывчивость.
Впервые система стала защищаться паролем в операционке Windows XP. Пароль — это обыкновенный набор символов, идентификация которого позволяет компьютеру определить вас как своего «хозяина». Нужна конкретная, введенная изначально комбинация, и никакая иная. Когда устанавливается Windows (либо после ее установки), пользователь обязательно придумывает пароль.
«Кодовое слово» хранится в особом реестре винды, то есть в ее спецбазе данных. И всякий раз, когда вы при включении ноутбука или ПК вводите установленный вами пароль, начинается системный поиск соответствующей комбинации. Когда находится совпадение, начинается системная загрузка, в противном случае потребуется повторно вводить пароль.
Есть также вероятность, что администратор, который управляет компьютером, заблокирует ваш аккаунт после введения неправильного пароля некоторое количество раз. Но как быть, если пользователь забыл этот «ключ»? И как узнать пароль от компьютера или изменить его? Давайте разберемся.
Безопасный вход в систему
Для ОС Windows процедура восстановления утерянного пароля не так уж и сложна. Для начала понадобится использовать функцию, называемую «Безопасный системный вход». Чтобы вы смогли «добраться» до опции, вам понадобятся «Пользовательские записи учета», которые вызываются через вход в «Панель управления». Далее действуйте следующим образом:
- Войдите в систему, используя аккаунт встроенного администратора: ваш логин будет «administrator» (либо то же слово по-русски).
- Если вам известен пароль, который установлен для данной учетной записи, впишите эту комбинацию. Но обычно пароль не требуется вводить, а потому просто оставьте окошко пустым и нажмите кнопку ввода «Enter». Вы должны попасть в систему.
Восстановление пароля
Итак, вход в систему выполнен, и как узнать пароль от компьютера на данном этапе? Все предельно просто. Поступите согласно нижеследующей инструкции:
- Кликните по кнопке «Пуск» и зайдите в «Панель управления».
- Дважды щелкните по пункту «Учетные записи». Из появившегося списка записей следует выбрать ту, от которой требуется изменить (удалить) пароль.
- Отредактируйте выбранную запись, после чего нажмите на кнопку «Готово».
- Чтобы изменить пароль от администраторского аккаунта, возьмите диск, используемый для установки операционки, и загрузитесь с него.
- Выберите пункт «Восстановление системы». Затем откройте командную строку — ею вы и будете пользоваться.
- Поскольку искомая заветная комбинация находится на хранении в реестре, его потребуется отредактировать. Вам понадобится помощь утилиты Regedit. Чтобы запустить программу, введите ее наименование в командную строчку и щелкните по «Enter».
- После этого отыщите раздел с названием «HKEY_LOCAL_MACHINE».
- Откройте «Файл» и нажмите на строку «Загрузить куст».
- Перейдите к диску с операционкой и отправляйтесь по следующему пути: C:WindowsSystem32configSYSTEM.
- Назовите случайным наименованием, например «222», и отправляйтесь в подраздел по пути: «HKEY_LOCAL_MACHINE» —> «222» —> «Setup».
- Справа вы увидите параметр под названием «CmdLine», щелкните по нему дважды и откройте. Измените его значение на такое: «cmd.exe». Там же вы найдёте параметр под названием «SetupType». Его значение тоже требуется поменять: удалить 0 и поставить 2.
- Нажмите левую клавишу мышки и выделите «HKEY_LOCAL_MACHINE», потом зайдите в «Файл» и выберите строку «Выгрузить куст».
- Извлеките корректно диск с ОС-установкой и перезагрузите компьютер.
После того как Windows обычным образом загрузится, перед вами откроется окошко командной строчки. Впишите в него такую информацию: net user_ пользовательское имя_ новый пароль. Пользовательское имя — это логин, оставшийся без пароля, а новый пароль — это новый «ключ» от аккаунта. Все готово!
Теперь вам известно, как узнать пароль от компьютера, и вы можете не паниковать, если вдруг потеряете его. Но будет лучше, если вы где-нибудь запишете свое «секретное слово».
Источник: useron.ru