sam
TRANSCRIPT
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 1/12
¿Qué hace el Security Accounts Manager (SAM) ?
El Administrador de cuentas de seguridad (SAM) es una base de datos presente en los servidores
que ejecutan Windows Server 2003 que almacena las cuentas de usuario y los descriptores de
seguridad para los usuarios en el equipo local.
¿A quién aplica esta función?
Esta característica se aplica a los profesionales de TI que desean solucionar problemas o entender
el comportamiento del componente de SAM en el despliegue. Solución de problemas pueden
requerir que las herramientas adicionales que puede descargar. En este tema también se aplica a
los desarrolladores que han licenciado los protocolos SAMR y LSAR y desarrolladores que utilizan
las interfaces de programación de LSA confianza de aplicaciones (API) de Microsoft Corporation.
¿Qué funcionalidad nueva se agrega a esta característica en Windows Server 2003 service Pack 1?
SAM WPP registro
Descripción detallada
De cuentas de seguridad (SAM) de los registros de depuración pueden ser recogidos por el
preprocesador de Windows del software de seguimiento (WPP) durante la implementación. WPPse puede utilizar para recopilar información acerca de lo que el componente de SAM está
haciendo durante un período de tiempo en el sistema operativo Windows no se está comportando
como se esperaba. Esta información puede ser utilizada por los Servicios de soporte técnico de
Microsoft para ayudar a solucionar problemas en su implementación.
¿Por qué es importante este cambio? ¿Qué amenazas mitiga?
Esto puede reducir el número de sesiones de depuración en vivo, si la información del registro es
suficiente para determinar lo que está ocurriendo.
Lo que funciona de manera diferente?
Nada funciona de manera diferente. Una nueva característica está habilitada para generar elregistro. Los siguientes son los comandos logman que se pueden utilizar para habilitar el registro:
Copiar
logman create trace samlog-p "{f2969c49-b484-4485-b3b0-b908da73cebb}" 3
logman start samlog
la acción de repetición real que es interesante y que debe ser capturado en el registro de
logman parada samlog
Esto generará un registro de transacciones extendida (ETL), que con su Ingeniero de Soporte de
producto será capaz de analizar el uso del conjunto de símbolos de depuración.
¿Qué configuraciones se han agregado o cambiado en Windows Server 2003 Service Pack 1?
Un nuevo evento seguimiento para Windows (ETW) existe una entrada, f2969c49-b484-4485-
b3b0-b908da73cebb. Esta entrada refleja o no el registro se ha habilitado para el componente de
SAM. La siguiente salida de ejemplo de tracelog –enumguid incluye la nueva entrada.
Copiar
Orientación habilitado Banderas LoggerId nivel
-------------------------------------------------- ---------
FALSO 1046d4b1-fce5-48bc-8def-fd33196af19a 0 0 0
5007c7b1-1444-4303-bdbe-359c79fc032a FALSO 0 0 0
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 2/12
7e4b70ee-8296-4f0f-a3ba-f58ef7bb4e96 FALSO 0 0 0
77db410c-561e-4358-8b0e-af866e91bb89 FALSO 0 0 0
dd5ef90a-6398-47a4-ad34-4dcecdef795f FALSO 0 0 0
196e57d9-49c0-4b3b-AC3A-a8a93ada1938 FALSO 0 0 0
1540ff4c-3fd7-4bba-9938-1d1bf31573a7 FALSO 0 0 0
94a984ef-F525-4bf1-be3c-ef374056a592 FALSO 0 0 0
3121cf5d-c5e6-4f37-be86-57083590c333 FALSO 0 0 0
94335eb3-79ea-44d5-8ea9-306f49b3a04e FALSO 0 0 0
FALSO 4a8aaa94-cfc4-46a7-8e4e-17bc45608f0a 0 0 0
f33959b4-dbec-11d2-895b-00c04f79ab69 FALSO 0 0 0
8e598056-8993-11D2-819e-0000f875a064 FALSO 0 0 0
f2969c49-b484-4485-b3b0-b908da73cebb FALSO 0 0 0
cc85922f-db41-11D2-9244-006008269001 FALSO 0 0 0
c92cf544-91b3-8e11-4dc0-c580339a0bf8 FALSO 0 0 0
bba3add2-C229-4cdb-ae2b-57eb6966b0c4 FALSO 0 0 0
8fc7e81a-f733-42e0-9708-cfdae07ed969 FALSO 0 0 0
cddc01e2-fdce-479a-b8ee-3c87053fb55e FALSO 0 0 0
6acd39eb-486B-4cb0-83fa-307aa23767b1 FALSO 0 0 065f67abd-ecd2-4501-9b10-d48db2300e6c FALSO 0 0 0
28cf047a-2437-4b24-b653-b9446a419a69 FALSO 0 0 0
fc4b0d39-e8be-4a83-a32f-c0c7c4f61ee4 FALSO 0 0 0
fc570986-5967-4641-a6f9-05291bce66c5 FALSO 0 0 0
39a7b5e0-be85-47fc-b9f5-593a659abac1 FALSO 0 0 0
dab01d4d-2d48-477d-b1c3-daad0ce6f06b FALSO 0 0 0
FALSO 58db8e03-0537-45cb-b29b-597f6cbebbfe 0 0 0
FALSO 58db8e03-0537-45cb-b29b-597f6cbebbfd 0 0 0
La prevención de SAM y LSA se encarga de secuestrar
Descripción detallada
La aplicación del lado del servidor de los protocolos SAMR y LSAR ahora implementa los controles
de seguridad para asegurarse de que la llamada en curso es la misma persona que abrió el primer
mango de regresar de SamConnect y LsaOpenPolicy respectivamente.
La Cuenta de Seguridad Llamar a procedimiento remoto (RPC) protocolo (SAMR) es un subsistema
integral que se utiliza para realizar operaciones a distancia de servicios encargado de cuenta, tales
como la gestión de cuentas de usuario y la manipulación. La interfaz de SAMR define el
Administrador de cuentas de seguridad remota (SAM) de los métodos que son llamados por el
cliente. SamConnect es la función que se utiliza para conectarse a la base de datos SAM.
¿Por qué es importante este cambio?
Este cambio está relacionado con los cambios de RPC que ayudan a prevenir ataques de elevación
de privilegios en el sistema. La implementación de este cambio en las interfaces de Active
Directory ayuda a hacer más seguro su sistema por defecto.
Lo que funciona de manera diferente?
Si su aplicación utiliza el SAMR o protocolos LSAR, las comprobaciones de acceso se realizan en
cada llamada recibida y verificar que la identidad del cliente que abre el identificador de contexto
es lo mismo que la identidad del cliente que realiza la llamada. Si su aplicación no utiliza esa
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 3/12
convención, que dejará de funcionar después de la instalación de Windows Server 2003 Service
Pack 1 (SP1).
¿Cómo puedo solucionar estos problemas?
Todas las llamadas a los métodos de SAMR y LSAR debe estar en el mismo contexto de seguridad,
como la llamada que ha generado el identificador de contexto que se utiliza en la llamada. Si no es
así se debe modificar la aplicación para cumplir con este requisito.
¿Necesito cambiar mi código para trabajar con Windows Server 2003 service Pack 1?
La mayoría de las aplicaciones no tendrá que ser cambiado. Sin embargo, si el código de la
aplicación cambia contextos de seguridad durante el uso de identificadores de contexto obtenido
a partir de la interfaz SAMR y LSAR tendrá que ser modificado. Si la aplicación está usando alguna
de las siguientes API, verifique con el desarrollador de la aplicación que el contexto de seguridad
llamada no cambia entre la llamada LsaOpenPolicy y cualquier subsecuente Lsa llamada a la API
que utiliza el identificador devuelto por LsaOpenPolicy .
LsaOpenPolicy
LsaQueryInformationPolicy
LsaSetInformationPolicy
LsaQueryDomainInformationPolicy
LsaSetDomainInformationPolicy
LsaEnumerateTrustedDomains
LsaLookupNames
LsaLookupNames2
LsaLookupSids
LsaEnumerateAccountsWithUserRight
LsaEnumerateAccountRights
LsaAddAccountRights
LsaRemoveAccountRights
LsaOpenTrustedDomainByName
LsaQueryTrustedDomainInfo
LsaSetTrustedDomainInformation
LsaDeleteTrustedDomain
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 4/12
LsaQueryTrustedDomainInfoByName
LsaSetTrustedDomainInfoByName
LsaEnumerateTrustedDomainsEx
LsaCreateTrustedDomainEx
LsaQueryForestTrustInformation
LsaSetForestTrustInformation
LsaForestTrustFindMatch
LsaStorePrivateData
LsaRetrievePrivateData
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 5/12
HACKEO – PIRATEARIntroducción:
En este texto vamos a tratar las distintas formas de crackear los passwords de Windows NT. Esto
nos puede ser muy útil a la hora de hacer una auditoria de seguridad en nuestro sistema, o para
seguir confirmando las debilidades del M$ Windows NT
Lo primero que tenemos que hacer es conseguir los passwords hashes (trozos de password
cifrados pero en formato texto ASCII) y hay 3 formas de hacerlo, desde un archivo SAM del disco,
directamente del registro o mediante el uso de un sniffer.
Obteniendo el archivo SAM
Hay 3 formas en la que podemos extraer un password hash de un archivo SAM en el disco rígido,
desde donde el sistema guarda el SAM, del disco de reparación de Windows NT o de una cinta de
backup.
Para obtener el archivo SAM del disco rígido lo podemos encontrar en el directorio
\\WINNT\SYSTEM32\CONFIG. Por default este archivo se puede leer pero no lo vamos a poderhacer mientras Windows NT se este ejecutando porque en ese momento se encuentra abierto de
forma exclusiva por el sistema operativo. Lo que podemos hacer es iniciar la PC con otro sistema
operativo y copiarlo directamente, si lo hacemos desde Linux no vamos a tener problemas porque
este soporta las particiones NTFS de Windows NT; pero si lo queremos hacer desde Windows 9x,
deberemos conseguir un programa como el Ntfsdos que nos permite acceder a la partición NTFS
desde una partición FAT como la de Windows 9x; o sea, que haces un disco de inicio y copias el
Ntfsdos en el, inicias el sistema con este disco y ejecutas el Ntfsdos que lo que hace es montar la
partición NTFS a la FAT y entonces te vas al directorio \\WINNT\SYSTEM32\CONFIG y copias el
archivo SAM al disco.
Otra forma de obtener el archivo SAM es mediante el disco de reparación; durante la instalaciónde Windows NT una copia del archivo de passwords es puesta en el directorio \\WINNT\REPAIR.
En este archivo ya que se creo durante la instalación solo vamos a encontrar la cuenta del
Administrador y la del Guest y nos va a ser útil solo si el Administrador no cambio la contraseña
después de la instalación; pero si el Administrador actualizo sus discos de reparación entonces si
vamos a poder encontrar una copia de todos los passwords del sistema. En este directorio vamos a
encontrar el
archivo SAM pero comprimido como SAM. para poder crackearlo con el L0phtCrack que es uno de
los mejores crackeadores de NT lo hacemos normalmente pero siempre y cuando lo estemos
corriendo bajo Windows NT, si en cambio estamos corriendo el L0phtCrack en Windows 95/98
para poder importar el SAM. primero vamos a tener que descomprimirlo utilizando el comando
"expand" de Windows NT de la siguiente forma: "expand SAM._ SAM" y luego lo importamos
normalmente para poder crackearlo.
El archivo SAM también queda guardado en las cintas de copia de seguridad cuando se hace un
backup del sistema. Si conseguís una cinta de backup, podes restaurar el archivo SAM de
\\WINNT\SYSTEM32\CONFIG a otra computadora para después crackearlo.
La herramienta que vamos a utilizar para crackear los SAM va a ser el L0phtCrack, simplemente
porque es el mejor crackeador de passwords de Windows NT. Una vez que ya tenemos el SAM
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 6/12
tememos que ir al menu "File" y seleccionar la opción "Import SAM File..." que nos va a desplegar
un menú para poder seleccionar el archivo, una vez que ya lo importamos vamos a la opción
"Tools" y seleccionamos la opción "Run Crack", luego de esto es cuestión de tiempo y por
supuesto suerte.
Volcando los passwords desde el registro.
Otro método para obtener los password cifrados de un NT, es volcarlos desde el registro. Para
hacer esto vamos a utilizar la opción "Tools Dump Passwords from Registry' de la herramienta
L0phtCrack. Si tenemos privilegios de Administrador podemos volcar los passwords cifrados desde
una maquina localmente, o sobre la red si es que la máquina remota tiene permisos de acceso al
registro a través de la red; solamente especificamos el nombre de la computadora o la dirección IP
de esta con el formato común de M$ "\\nombre de la computadora" o "\\direccion IP" dentro del
cuadro de dialogo de "Dump Password from Registry" y presionamos OK. Una vez que hicimos
todo esto ya tendríamos cargados los passwords cifrados dentro del L0phtCrack; así que ahora
solo debemos proceder a crackear.
Una cosa a tener en cuenta es que si tenemos la versión en español del Windows NT la palabra
Administrator esta cambiada por Administrador; por lo que el L0phtCrack no nos va a funcionar.Lo que vamos a hacer es editar el registro de Windows NT y decirle al L0phtCrack que busque por
Administrador y no por Administrator, para esto vamos a editar el registro de la siguiente forma,
usamos el regedit.exe y editamos la siguiente clave:
HKEY_CURRENT_USER\Software\L0pht\L0phtCrack\AdminGroupName y cambiamos el valor que
viene por Administrador.
Ademés de todo esto, Microsoft incluyo en el Service Pack 3 la utilidad SYSKEY que lo que hace es
cifrar los passwords hashes, o sea que si el SP3 esta instalado en el sistema no vamos a poder
volcar los passwords del registro; esto por lo menos usando el L0phtCrack, pero todavía podemos
usar otra utilidad gratuita escrita por Todd Sabin llamada PWDUMP2, esta utilidad nos permite
obtener los passwords hashes cifrados con la utilidad SYSKEY y exportarlos a un archivo de textopara después poder crackearlo con el L0phtCrack. El PWDUMP2 sirve siempre que se use
localmente y se tenga privilegios de Administrador, pero entonces para que nos va a servir con
propósitos de hacking?, bueno porque puede trabajar con cualquier copia del registro. Y
recordemos que hay muchos malos Administradores de un sistema que permiten a los usuarios de
dominio conectarse localmente, y que también durante la instalación han realizado un disco de
rescate (rdisk.exe) ya que la opción por defecto es "Si", y recordemos que cada vez que se ejecuta
rdisk.exe NT hace una copia del registro en %SystemRoot%\Repair (normalmente %SystemRoot%
es c:\winnt). Y los permisos por defecto para ese directorio son de "lectura" para todos los
usuarios.
Tengamos en cuenta que L0phtCrack esta limitado a volcar y abrir 65K de usuarios. Y si la lista de
passwords es larga y tiene mas de 10.000 usuarios pongámonos muy cómodos porque vamos a
esperar un rato...
Usando un sniffer.
Otro método que tenemos es capturar los passwords cifrados estando en una red, si tenemos un
objetivo especifico deberíamos estar en el mismo segmento de red que la víctima. Este método es
muy útil si no tenemos acceso físico ni remoto, o esta instalado el SYSKEY. Para hacer esto vamos a
utilizar la opción "Tools SMB Packet Capture" del L0phtCrack, esto nos abrirá una ventana y ya
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 7/12
estaríamos capturando todas las sesiones de autentificación SMB. En este texto siempre estamos
hablando de la versión 2.5 del L0phtCrack, así que si tenían instalado una versión anterior de esta
herramienta hay remover el driver de red NDIS de la solapa "Protocolos" de la configuración de
"Red" en el "Panel de Control" (esto es en Windows NT). Todos los logueos que vayamos
capturando irán apareciendo en la ventana del SMB Packet Capture, para guardar esto lo podemos
hacer con el botón "Save Capture". Para comenzar a crackear los passwords que capturamos
primero los tenemos que guardar y luego abrir el archivo que se creo. Si dejamos al L0phtCrack
uno o dos días capturando passwords seguramente tendríamos los suficientes como para realizar
nuestro objetivo.
Donde conseguir los programas que necesitamos?
Aquí se muestra donde conseguir y una breve reseña de todos los programas que se mencionan
durante el desarrollo del articulo; también los podes bajar de la web de Ezkracho:
http://www.ezkracho.piratas.org/ pero igualmente se va a poner la fuente original de estos.
Ntfsdos.
El Ntfsdos lo podemos encontrar en http://www.systernals.com/ntfs20r.zip y como ya se explico
nos sirve para acceder a una partición NTFS desde una partición FAT, no hace falta decir cual es lagran ventaja de esto.
L0phtCrack.
El L0phtCrack lo podemos encontrar en http://www.l0pht.com/l0phtcrack/ la última versión que
podemos encontrar hasta el momento es la 2.5 que se puede usar durante un periodo de prueba
por 15 días, luego vamos a necesitar registrarlo para continuar con su uso. El método mas rápido
para crackear un password es mediante una ataque de diccionario, podemos usar el diccionario
que viene con el L0phtCrack que es chico pero muy efectivo o también buscar en la red un
diccionario mucho mas grande que seguro hay muchos dando vuelta. Otro método que utiliza
L0phtCrack es el llamado "híbrido" que lo que hace es a las palabras que encuentra en el
diccionario agregarles letras o símbolos, por ejemplo hay gente que pone su nombre con símbolosal final o intermedio, Juan$$Perez o JuanPerez!!. El tercer y último método que utiliza el
L0phtCrack es el de Fuerza Bruta que ya todos saben como funciona, este es el método mas
seguro y descifra la clave sin ninguna duda, solo es cuestión de tiempo...
PWDUMP2.
El PWDUMP2 es un programa gratuito escrito por Todd Sabin y lo podemos encontrar en
http://www.webspan.net/~tas/pwdump2/. Para una mayor descripción de como conseguir los
passwords hashes para usarlos con esta utilidad ver en la pagina web de esta utilidad. Cabe acotar
que el uso de PWDUMP2 en conjunto con L0phtCrack es una excelente arma, para realizar
auditorias por supuesto...
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 8/12
Seguro que más de uno (por curiosidad o necesidad) se ha visto en la misma situación y hubiese
agradecido una forma sencilla de hacerlo.
En este post os cuento una de las múltiples formas existentes de hacer esto, pero en este caso
desde Ubuntu.
Para ello tendremos que instalar chntpw (acrónimo de CHange NT PassWord), que se halla en los
repositorios de Ubuntu:
sudo aptitude install chntpw
Una vez instalado:
Montamos la partición en la que está instalado Windows
Localizamos (desde la terminal) el directorio system32\config (normalmente en
c:\windows\system32\config), lo que se traduciría en:
cd /media/Nombredelaparticion/Windows/system32/config
Ejecutamos chntpw
Para listar los usuarios del sistema Windows:chntpw -l SAM
SAM es el archivo que contiene los usuarios de Windows por decirlo de alguna manera...
Y nos dará un listado tipo:
chntpw version 0.99.5 070923 (decade), (c) Petter N Hagen
Hive name (from header): <\SystemRoot\System32\Config\SAM>
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c
Page at 0xe000 is not 'hbin', assuming file contains garbage at end
File size 262144 [40000] bytes, containing 5 pages (+ 1 headerpage)
Used for data: 204/48384 blocks/bytes, unused: 19/4704 blocks/bytes.
* SAM policy limits:
Failed logins before lockout is: 0
Minimum password length : 0
Password history count : 0
| RID -|---------- Username ------------| Admin? |- Lock? --|
| 01f4 | Administrador | ADMIN | dis/lock |
| 03e8 | Tiburcio | ADMIN | |
| 01f5 | Invitado | | dis/lock |
Donde podréis ver todos los usuarios del sistema. En este listado veis que "Administrador" esta
desactivado (disabled) y bloqueado (locked), al igual que el invitado, pero el usuario "Tiburcio"
(¿qué pasa? el burro para carga que usaba mi tío se llamaba así ;)) no lo está..
Para cambiar la clave de un usuario escribiremos:
chntpw -u NOMBRE_DE_USUARIO SAM
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 9/12
o sea que en este caso sería:
chntpw -u Tiburcio SAM
para cambiar la clave del usuario "Tiburcio"
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 10/12
En este tuto os mostrare como cambiar la pass de un usuario de windows usando linux (Ubuntu
10.04LTS).
En una terminal, instalmos chntpw:
ruben@CoYoTe:~$ sudo apt-get install chntpw
[sudo] password for ruben:
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho
Se instalarán los siguientes paquetes NUEVOS:
chntpw
0 actualizados, 1 se instalarán, 0 para eliminar y 27 no actualizados.
Necesito descargar 57,0kB de archivos.
Se utilizarán 147kB de espacio de disco adicional después de esta operación.
AVISO: ¡No se han podido autenticar los siguientes paquetes!
chntpw
¿Instalar estos paquetes sin verificación [s/N]? sDes:1 Index of /ubuntu lucid/universe chntpw 0.99.5-0+nmu1 [57,0kB]
Descargados 57,0kB en 1s (48,5kB/s)
Seleccionando el paquete chntpw previamente no seleccionado.
(Leyendo la base de datos ... 00%
.
.
.
Ahora montamos nuestra particion windows con permisos de lectura y escritura:
sduo mount -t ntfs /dev/hdaX /mnt/windows
Entonces, necesitamos localizar el archivo SAM, que por defecto en los windows 7 y Xp se
encuentra en:
windows/system32/config
una vez dentro del archivo 'config' en la terminal:
ruben@CoYoTe:~$ sudo chntpw -h ---> ayuda
ruben@CoYoTe:~$ sudo chntpw -l SAM ---> para listar los usuarios
ruben@CoYoTe:~$ sudo chntpw -U NombreUsuario SAM ---> resseta la pass
SIEMPRE RESETEAR LA PASS EN BLANCO
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 11/12
Como sacar contraseñas de administrador en Windows XP/NT
Windows XP/NT almacena las contraseñas de los usuarios y administradores en
c:\windows\system32\config
Ahora, esos archivos contienen las llamadas LM Hashes, las cuales obviamente están encriptadas.
Estas hashes pueden ser crackeadas, pero primero tenemos que conseguirnos los archivos que las
contienen y luego extraerlas.
Para extraerlas necesitamos por lo general de 2 archivos, el archivo SAM y el archivo SYSTEM
(donde se almacena las claves SYSKEY; un potente código de encriptación). Ahora, extraer estos
archivos no es tan simple como parece debido a que están protegidos, desde Windows no los
podemos copiar ni editar. Entonces, como lo vamos a hacer:
Existen varios métodos, los mas conocidos son:
1) Extraerlas desde linux: Por lo general con Knoppix (linux que corre desde CD) debido a que no
necesita instalarse. Además supongo que quieren hacerlo en un PC ajeno, así que no van a querer
instalarle linux... obvio..
2) Otro método es desde DOS: Este método es mas rápido, pero requiere arreglar varios detalles.
A.-Cuando entras a DOS antes de iniciar Windows, con un disco de inicio por ejemplo, no vas a
poder ver los archivos debido a que no soporta el sistema NTFS.
B.-A su vez, ya mencione que se necesita extraer el archivo SYSTEM el cual pesa demasiado
(alcanza los 4/5 MB), entonces donde lo vamos a guardar?.....
La solución:
Con motivos de solucionar esto cree 2 discos, los cuales hacen lo siguiente:
El primero es un disco de inicio común, solo que posee la utilidad NTFSDOS la cual nos permiteacceder al sistema que antes mencione a través de DOS.
El segundo es un disco que contiene 2 scripts en formato bat. Una para copiar el archivo SYSTEM y
la otra el archivo SAM al mismo disco. Ahora, a su vez los va a comprimir utilizando una utilidad
llamada GZIP.
Modo de uso: (Es rapidísimo)
1-Colocas el primer disco, esperas que cargue y escribes ntfsdos para que cargue dicha utilidad.
2-Colocas el segundo disco. Para robar el SAM escribes steal1 y para robar el SYSTEM escribes
steal2. El resto lo hace solo. Mas fácil donde.....
3-Sacas los discos, reinicias el PC y nunca paso nada.
Crackeando los hashes:
Una vez que tengas ambos archivos, procedemos a crackearlos:
1-Para extraer los passwords encriptados vamos a necesitar el programa SAMinside. Este
programa nos va a pedir que abramos el archivo SAM (el cual va a estar comprimido dentro del
disco 2), si el archivo SAM fue encriptado con SYSKEY, nos va a pedir a su vez que abramos el
archivo SYSTEM (también el el disco 2).
5/16/2018 Sam - slidepdf.com
http://slidepdf.com/reader/full/sam5572004449795991699f1e1e 12/12
2-Una vez que tenemos los user y sus pass encriptadas, lo exportamos como pwdump.
3-Ahora abrimos el LopthCrack (LC5) e importamos el pwdump, después crackeamos (va a probar
varios métodos, primero un diccionario default que trae y después por incremento de caracteres)
Utilidades:-Disco 1 http://www.anetserver.com/~jugox/Herramientas/Disco%201.exe
-Disco 2 http://www.anetserver.com/~jugox/Herramientas/Disco%202.exe
-SAMinside http://www.insidepro.com/download/saminside.zip
-LC5 (google)
Por codebreak