Sam + System

Discussion in 'Безопасность и Анонимность' started by qPhoenix, 7 Dec 2006.

  1. qPhoenix

    qPhoenix Banned

    Joined:
    15 Dec 2005
    Messages:
    87
    Likes Received:
    50
    Reputations:
    8
    Собсно проблема вот в чем: качнул шеллом SAM и SYSTEM из %SystemRoot%\Repair\ , расбрутил, но пассы не подошли, затем взглянул на дату... (май 2005го)
    Попытался стянуть свеженькие из %SystemRoot%\System32\config\ , и естесно не получилось, файлы используются...

    Можно ли как-нить стянуть текущие SAM и SYSTEM имея только Шелл с рутовыми правами?
     
  2. madnet

    madnet Умиротворенный

    Joined:
    9 Dec 2004
    Messages:
    868
    Likes Received:
    343
    Reputations:
    423
    "Шелл с рутовыми правами" на Win тачке это как?
     
    _________________________
  3. qPhoenix

    qPhoenix Banned

    Joined:
    15 Dec 2005
    Messages:
    87
    Likes Received:
    50
    Reputations:
    8
    )) ну типа могу тварить с файлами все, что душа пожелает...

    З.Ы. Не придирайся к словам.. :d
     
  4. madnet

    madnet Умиротворенный

    Joined:
    9 Dec 2004
    Messages:
    868
    Likes Received:
    343
    Reputations:
    423
    Ну если ты можеш тварить все что тебе угодно, то установи Vnc или Radmin
     
    _________________________
  5. qPhoenix

    qPhoenix Banned

    Joined:
    15 Dec 2005
    Messages:
    87
    Likes Received:
    50
    Reputations:
    8
    Ставил РАдмин, все гуд, запускается, порт открывается, но законнектиццо немогу... Виндовый фаервол поидее отключен (на попытку добавить правило кричит: "Служба не запущена."), но наставлена куча Symantec-овых муток... и то не факт, что на выходе из ждущего режима там не стоит защита паролем...
    так что в идеале - хотел бы стащить нормальные САМ и СИСТЕМ...
     
  6. madnet

    madnet Умиротворенный

    Joined:
    9 Dec 2004
    Messages:
    868
    Likes Received:
    343
    Reputations:
    423
    Если у тя, как ты сказал "рутовые права" выгрузи семантику.
     
    _________________________
  7. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Файлы Sam и System залочены и от Администратора и от пользователя с правами System вытащить их можно ИМХО только под другой системой...
     
  8. Asad

    Asad New Member

    Joined:
    14 Jun 2006
    Messages:
    22
    Likes Received:
    3
    Reputations:
    0
    Или я вопрос не понял, но систем и сам можно вытащить мона с прогой MPR (multi password recovery)
     
  9. madnet

    madnet Умиротворенный

    Joined:
    9 Dec 2004
    Messages:
    868
    Likes Received:
    343
    Reputations:
    423
    MPR работает только с копиями типа Repair, а коль они устарели, то с рабочей системы врятли ты их вытянеш, да и вообще, вопрос такой зачем они, если у тебя достаточно прав?
     
    _________________________
  10. madnet

    madnet Умиротворенный

    Joined:
    9 Dec 2004
    Messages:
    868
    Likes Received:
    343
    Reputations:
    423
    Ответ на твой удаленный пост

    wspsrv.exe 5340 fwsrv - Помойму это ядро фаервола
    nod32krn.exe 5052 NOD32krn - Нод может то же килять твой радмин, хотя в роде он нормально загрузился
     
    _________________________
  11. AHTOLLlKA

    AHTOLLlKA Member

    Joined:
    1 Feb 2005
    Messages:
    225
    Likes Received:
    35
    Reputations:
    22
    http://wasm.ru/pub/21/files/lockfileswork/samcopy.rar
    Пример копирования SAM с помошью изменения прав доступа в таблице хэндлов

    http://wasm.ru/pub/21/files/lockfileswork/RawRead.rar
    Пример чтения SAM с помошью прямого доступа к тому

    пробуй, взято с васма =)
    http://wasm.ru/article.php?article=lockfileswork
    by ms-rem =)
     
  12. qPhoenix

    qPhoenix Banned

    Joined:
    15 Dec 2005
    Messages:
    87
    Likes Received:
    50
    Reputations:
    8
    madnet
    Попрпобовал позавершать, но они грузятся заново... внизу списка с новым ПИДом... кста, я ваще правильно делаю: "taskkill /f /pid 364 /t" ? :rolleyes:
    а ваще не принципиально добить именно этот сервак, такого рода шеллов есть штук 10 с работающим РАдмином и проблема состоит в том, что при выходе из ждущего режима требует авторизацию.. :( Так что хотелось бы сакцентироваться на расшифровке паролей =)

    AHTOLLlKA
    Проверял эти темы? бо у мну даж на локале не пашет..
    пытался разобраться в коде, но С ваще не знаю =)
     
  13. slider

    slider Reservists Of Antichat

    Joined:
    4 Sep 2005
    Messages:
    501
    Likes Received:
    711
    Reputations:
    748
    У кого то сработало???
     
  14. AHTOLLlKA

    AHTOLLlKA Member

    Joined:
    1 Feb 2005
    Messages:
    225
    Likes Received:
    35
    Reputations:
    22
    у меня локально пашет=)
    а если попробовать поднять RDP и добавить юзера потом подключицо =/