Seguridad y Redes

En un anterior post, hablamos de crackear una contraseña de un sistema en ejecución, ahora en este post veremos como crackear una contraseña en un sistema que este apagado o teniendo una imagen de dicho sistema.

Herramientas

Para crackear las contraseñas de Windows desde una imagen o partición debe cumplirse tres tareas principales.

El System key o Syskey es una capa adicional de seguridad que Windows utiliza para proteger las contraseñas de windows. Esta clave se utiliza para cifrar el archivo SAM. Aunque el sistema operativo este en funcionamiento, el Syskey se utiliza para descifrar la SAM y así el sistema operativo pueda acceder a su contenido, pero si el sistema no está encendido, el archivo SAM se almacena en un formato cifrado.

Para saltar el cifrado Syskey, primero debemos extraer el syskey del registro y luego usar esa misma clave para descifrar el archivo SAM. Para realizar este primer paso vamos utilizar una herramienta llamada Bkhive, en mi caso estoy utilizando backtrack donde ya viene incluido esta herramienta.

Suponiendo que ya hemos iniciado desde Live-CD/USB de Backtrack. Lo primer que aremos es ver que unidades estan montadas, para esto podemos usar el comando fdisk -l.

Como podemos ver, tenemos la unidad hda1 que tiene windows, solo que no esta montada y la unidad sda1 es la unidad flash donde guardaremos los archivos de la SAM, SYSTEM y los hashes, asi que lo primero que aremos es montar las unidades y crear un directorio donde montaremos el disco duro o particion de windows, y la memoria flash sda1. Para montar montar las unidades tecleamos lo siguiente en consolsa.

Comando para crear el directorio donde montaremos windows.

Una vez creado el directorio vamos a montar las unidades con los siguientes comandos.

Donde hda1 es la unidad donde esta windows y sda1 es la unidad USB donde guardaremos los archivos de la SAM y los hashes.

Una vez montada la unidad ya podremos ver y acceder a los archivos de windows.

Ahora nos dirigimos a la ruta /mnt/windows/WINDOWS/system32/config/ donde se encuentran los archivos SAM y SYSTEM.

Ahora para copiar los archivos SAM y SYSTEM a la unidad flash.

Con esto ya tenemos los archivos que necesitamos, ahora nos dirigimos a la carpeta donde copiamos los archivos anteriores que es en /mnt/usb/ para utilizar la herramienta bkhive para extraer la informacion necesaria y volcar los hashes del archivo SAM. Para ejecutar Bkhive utilizaremos la sintaxis bkhive system key, esto hará que bkhive extraiga la clave System Key y generar un archivo llamado key, tal como se muestra a continuación.

Hemos extraído el System Key, ahora vamos utilizarlo para descifrar el archivo SAM. A continuacion extraeremos el hash del archivo SAM, para esto utilizaremos Samdump2, como en backtrack esta disponible esta herramienta solo toca ejecutar samdump2. Lo que aremos es generar el archivo hashes.txt en nuestra unidad USB para su posterior crackeo, para realizar esto tecleamos en consola el siguiente comando.

Una vez teniendo los archivos necesarios en la unidad USB, vamos a utilizar ophcrack para crackear los hashes.

Tal como se mostro en el post anterior este proceso puede tardar segundos, minutos, horas incluso días dependiendo de la cantidad de usuarios y la complejidad de las contraseñas. Al final hemos obtenido los passwords de los usuario.

Cracking Syskey and the SAM using Bkhive & Samdump2 & Ophcrack from delfirosales on Vimeo.