Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 25 de julio de 2007

PWDUMP 7

Hace ya algun tiempo que no escribiamos por aqui, así que he decidido publicar una nueva herramienta. no esta completamente acabada pero es completamente funcional.

Actualmente hay muchas versiones de herramientas como pwdump o fgdump que se encargan de volcar los hashes de un sistema windows, para que puedan ser posteriormente descifrados. Cada version de estas herramientas tiene su propio modo de funcionamiento, creando servicios, inyectando código al proceso lsass, sin embargo, hay formas de hacer que estas versiones dejen de funcionar, por ejemplo deshabilitando los recursos administrativos, o eliminando privilegios de debug a un usuario administrador.

Pwdump7 sin embargo funciona de una forma totalmente diferente.

Este software funciona con su propio driver de sistema de archivos, usando tecnologia del software de deteccion de rootkits rkdetector de forma que un usuario con privilegios de administración, será capaz de volcar directamente los ficheros de registro SYSTEM y SAM directamente del disco duro.

Una vez volcados, se extraera la clave de syskey del fichero SYSTEM y se utilizará para generar los hashes lanman y ntlm del fichero sam, en un formato igual al que otras versiones de pwdump hacen.

Esta version es todavia una beta, y necesita alguna funcionalidad mas que ire añadiendo a lo largo del tiempo.

- Modificacion de contraseñas "online", actualizando las contraseñas de cualquier usuario directamente sobre el fichero SAM. De esta forma, no quedarán trazas en el sistema de que el fichero/password ha sido manipulado.
- compilar directamente con openssl (ahora requiere una de las librerias en el path) :)
- Meter soporte de contraseñas del directorio activo (a dia de hoy se desconoce el formato de las contraseñas almacenadas en el fichero ntds.dit)


Consultar fichero readme.txt
Podeis descargar aqui la ultima version de Pwdump 7.1

Fuente: http://www.514.es/

0 comentarios:

Publicar un comentario en la entrada