>>> Phần 1
>>> Phần cuối
Trong phần hai này chúng tôi sẽ giới thiệu cho các bạn một số cách crack mật khẩu bằng các công cụ khác nhau, sau đó là các biện pháp để giúp bạn bảo vệ được mật khẩu của mình trước những kiểu crack như vậy.
Cần phải lưu ý rằng các kỹ thuật được giới thiệu ở đây chỉ hoàn toàn cho mục đích nghiên cứu, không được sử dụng cho các hệ thống mà ở đó bạn không có quyền thẩm định.
1. Thu thập các hash mật khẩu
Để crack mật khẩu bạn phải thu được các hash được lưu bên trong hệ điều hành. Các hash này được lưu trong file SAM của hệ điều hành Windows. File SAM này nằm trên hệ thống tại C:\Windows\System32\config, tuy nhiên bạn không thể truy cập được nó khi hệ điều hành đang hoạt động. Các giá trị này cũng được lưu trong registry tại HKEY_LOCAL_MACHINE\SAM, tuy nhiên vùng registry này cũng không thể truy cập khi hệ điều hành được khởi chạy.
Có một số tùy chọn khác ở đây phụ thuộc vào mức độ truy cập mà bạn có đối với máy tính đang tiến hành thẩm định.
1.1. Truy cập vật lý
Nếu có thể truy cập vật lý, một trong những phương pháp hiệu quả nhất là khởi động máy tính bằng một hệ điều hành khác. Nếu cảm thấy thoải mái trong việc sử dụng Linux, bạn hoàn toàn có thể khởi động từ một Linux live CD có khả năng đọc các ổ đĩa NTFS, gắn partition Windows và copy file SAM sang ổ ngoài.
Nếu không quen với cách làm này, bạn có thể sử dụng Offline NT Password Editor của P. Nordahl, công cụ có thể được download tại đây. Đây là một phân phối Linux có thể khởi động, phân phối này được thiết kế để trợ giúp người dùng quên mật khẩu bằng cách cho phép họ thiết lập lại chúng. Phần mềm sẽ nhận dữ liệu đầu vào từ người dùng, tạo một hash hợp lệ và thay thế hash cũ trong file SAM bằng hash mới. Điều này khá hữu dụng vì chúng ta cũng có thể sử dụng phân phối này để đọc file SAM và lấy dữ liệu hash.
Để thực hiện điều đó, bạn hãy khởi động từ image CD và chọn partition hệ thống của mình, vị trí file SAM và cấu trúc registry, chọn tùy chọn thiết lập lại mật khẩu [1], khởi chạy registry editor [9] đi kèm, duyệt đến SAM\Domain\Account\Users, duyệt đến thư mục của người dùng mà bạn muốn truy cập, sử dụng lệnh cat để xem hash có chứa trong các file. Đầu ra sẽ có định dạng hex, tuy nhiên hoàn toàn có thể chuyển đổi định dạng này.
Hình 1: Đầu ra dạng hex của SAM hashTrước khi sử dụng Offline NT Password Editor để thiết lập lại mật khẩu, cần bảo đảm rằng bạn hiện không sử dụng Encrypted File System (EFS) trên bất cứ phiên bản nào phát hành sau Windows XP/2003. Nếu bạn thực hiện điều đó, hệ điều hành mất các khóa EFS của nó và gây ra nhiều vấn đề khác chứ không chỉ một việc quên mật khẩu.
1.2. Truy cập qua giao diện phần mềm
Nếu đang thực hiện các hành động thẩm định mật khẩu mà không có sự truy cập vật lý đến thiết bị đang được nói đến, tuy nhiên vẫn có thể truy cập qua giao diện phần mềm thông qua cơ chế remote desktop hoặc VNC, khi đó bạn có thể thu được các hash mật khẩu thông qua sử dụng tiện ích fgdump của Fizzgig, có thể download tiện ích tại đây.
Khi đã download được fgdump để sử dụng, bạn có thể chạy nó một cách đơn giản.
Hình 2: Cấu hình tiện ích Fgdump chạyKhi hoàn tất, một file sẽ được tạo trong cùng thư mục mà tiện ích khởi chạy, file này gồm có danh sách tất cả các tài khoản người dùng, hash LM của họ và cả các hash NTLMv2.
Hình 3: Đầu ra của các hash mật khẩu thu được bởi Fgdump
1.3. Truy cập mạng
Cuối cùng nếu không có bất cứ sự truy cập tương tác nào với máy tính có các hash bạn muốn, giải pháp tốt nhất là cố gắng đánh hơi (sniff) các hash khi chúng được truyền tải trên mạng trong suốt quá trình thẩm định. Tất nhiên điều này sẽ chỉ hoạt động nếu máy khách đang chứng thực với bộ điều khiển miền hoặc đang truy cập tài nguyên trên một máy khách khác.
Nếu nằm trong cùng đoạn mạng với máy khách mục tiêu, bạn có thể sử dụng chương trình Cain & Abel để chặn các hash mật khẩu khi chúng được phát đi giữa các thiết bị. Cain & Abel là một tiện ích miễn phí có thể download tại đây.
Sử dụng Cain & Abel, bạn có thể khởi tạo một quá trình có tên gọi “giả mạo ARP cache”, quá trình này được ví như một người ở giữa lợi dụng giao thức ARP để định tuyến lưu lượng giữa hai host thông qua máy tính của bạn. Giả mạo ARP cache là biện pháp tích cực, ngoài ra bạn có thể sử dụng bộ đánh hơi mạng đi kèm với Cain & Abel; nó có thể cho phép bạn chặn các hash mật khẩu NTLM khi đang truyền thông giữa các host giả mạo.
Editor: Vinhhq (Baomathethong.blogspot.com)
Author & Source: Quantrimang.com.vn
Author & Source: Quantrimang.com.vn
Không có nhận xét nào:
Đăng nhận xét