Report password cracking (2)

Nhóm : GVHD: Trần Quốc Dũng Phạm Văn Tính Nguyễn Hải Đăng Nguyễn Hồ Vương Trương Quang Minh

Password Crack I. Giới Thiệu SAM II. Tổng Quát cơ chế Mã Hóa Password Trong Windows III. Xử Lý Logon Trong Windows IV.Các kiểu Tấn Công V. DEMO

SAM SAM (security account manager) lưu trữ username và password của user. Password của user lưu trong SAM thì đã được mã hóa Password của user acccount là sự kết hợp của 2 loại password: LAN Manager và Window NT password Password lưu trong SAM có qua 2 lần mã hóa Dùng OWF Mã hóa theo user ID User có thể thiếu 1 trong 2 loại mật khẩu.

System key technology System key(syskey) là 1 kĩ thuật dùng để bảo vệ file SAM của Microsoft Xuất hiện đầu tiên ở Service Pack 2,nhưng được phát triển ở Service Pack 3 Thuật toán mã hóa của syskey có chiều dài key 128 bit Được thực hiện bởi syskey.exe

System key Để kích hoạt syskey :Run-> syskey->update Password Startup Store startup key on floppy disk Store Startup key Locally

SAM Registry key Key SAM được lưu trữ trong HKEY_LOCAL_MACHINE được quản lí bởi Registry Editor(regedt32.exe) Chỉ có System mới thay đổi chỉnh sửa được

SAM on Storage Subsystems SAM và Syskey được lưu trong 2 thư mục %systemroot%/repair, %systemroot%/system32 /config. Window explorer chỉ truy nhập vào được 2 thư mục với quyền hạn System Trong thư mục config, user không thể tương tác đến file SAM. Thư mục repair, user thường có thể truy cập vào file SAM .

SAM on Network Nếu computer là 1 phần của domain thì SAM được lưu trữ trong active directory SAM lưu trữ thông tin, quyền hạn của user và group trong domain

II.CƠ CHẾ MÃ HÓA PASSWORD CỦA WINDOWS

MÃ HÓA PASSWORD TRONG WINDOWS User record được lưu trữ trong cơ sở dữ liệu Security Accouts Manager(SAM) hoặc trong cơ sở dữ liệu Active Directory. Mỗi user account được kết hợp bởi 2 password: +LAN Manager Compatible Password. +WinDows Password.

Còn được gọi là LM Hash. Được giới thiệu đầu tiên bởi các hệ điều hành cũ như Windows 95,98… Hiện nay vẫn còn được sử dụng bởi windows 2000,windows xp,vista… vì lý do tương thích ngược với các hệ điều hành cũ hơn. LAN Manager-compatible password:

Password này dựa trên OEM character set Chiều dài tối đa là 14 ký tự Các bước để tính LM hash: Password  uppercase Password được null-padded  14bytes Được chi đôi thành 7bytes mỗi phần. Mỗi 7bytes  8bytes DES key Mỗi key dùng để mã hóa constand “KGS!@#$%”  ciphertext 2 ciphertext được nối lại với nhau  LM hash LAN Manager-compatible password:

LAN Manager-compatible password:

Khuyết điểm: Chiều dài password<15 ký tự Không phân biệt ký tự hoa và thường. Password được chia làm hai phần khiến dễ bị tấn công hơn vì Spacekey^ 14 >>spacekey^7. *LM HASH là một weak password LAN Manager-compatible password:

Được giới thiệu bởi Windows NT, để tăng tính an toàn cho password so với việc sử dụng LM hash. Dựa trên unicode char set. Chiều dài nó có thể được nâng lên 128 ký tự. Password này được tính bằng cách sử dụng thuật toán mã hóa RSA MD-4 Windows Password(NT HASH)

Windows Password(NT HASH) PASSWORD/USER INFORM NT windows Hash

III.XỬ LÝ LOGON TRONG WINDOWS

XỬ LÝ LOGON TRONG WINDOWS LOCAL MACHINE LOGON DOMAIN LOGON

Windows sử dụng LsaLogonUser API để thực hiện quá trình xác thực. LsaLogonUser API gọi gói phần mềm xác thực MSV1_0. MSV1_0(MSV)-gói này được giới thiệu bởi Window NT. Gói MSV này ngoài hỗ trợ xác thực quá trình local logon nó còn hỗ trợ pass-through xác thực user trong những domain khác bằng việc sử dụng dịch vụ Netlogon. XỬ LÝ LOGON TRONG WINDOWS

Gói xác thực MSV được chia thành hai phần: top và bottom half. Top half chạy trên máy tính đăng nhập(local machine), nó mã hóa password và chuyển nó thành : LAN Manager password và Windows password. Tùy vào local machine logon hay domain logon mà nó có những chiến lược xử lý khác nhau. bottom half chạy trên máy tính chứa thông tin user account,nó truy vấn password trong SAM và so sánh với password đưa vào để quyết định kết quả của quá trình xác thực. XỬ LÝ LOGON TRONG WINDOWS

LOCAL MACHINE LOGON process SAM DATAbase TOP HALF BOTTOM HALF M S V 1_0 Packet 1.Encrypt/hash 2.Send 3.Query 4.Send stored hash password User/password 5.compare Reply result

Some LAN Authentication protocols LM Authentication NTLM Authentication +NTLMv1 +NTLMv2

NT LAN Manager Authentication NTLM là một giao thức xác thực được sử dụng bởi Microsoft Windows để xác thực giữa client và server. NTLM là tên một tập các security protocol của Windows Nó là một challenge-response style authentication protocol.

Giao thức này sử sử dụng một challenge-response trao đổi messages trình tự giữa client và server: + NEGOTIATE_MESSAGE +CHALLENGE_MESSAGE +AUTHENTICATE_MESSAGE NT LAN Manager Authentication

NEGOTIATE_MESSAGE: The NEGOTIATE_MESSAGE định nghĩa một NTLM Negotiate message,nó được gửi từ client đến server. Yêu cầu mở một session authentication. CHALLENGE_MESSAGE The CHALLENGE_MESSAGE định nghĩa một NTLM challenge message được gửi từ server đến client, chứa challenge random AUTHENTICATE_MESSAGE Chứa respond được tính bởi client ( DES(Unicode pwd, nonce) được gửi đến server. NT LAN Manager Authentication

NTLMv2 CS = 8-byte server challenge, random CC = 8-byte client challenge, random CC* = (X, time, CC, domain name) v2-Hash = HMAC-MD5(NT-Hash, user name, domain name) LMv2 = HMAC-MD5(v2-Hash, CS, CC) NTv2 = HMAC-MD5(v2-Hash, CS, CC*) response = LMv2 | CC | NTv2 | CC*

DOMAIN LOGON Top Half MSV hướng cho request đến netlogon service(nsl) của máy hiện tại. Sau đó nsl truyền request đến cho netlogon service của máy remote. Server trả về “nonce” (16bit challenge), “nonce” và hashed password được merge với nhau và gửi lại server. the Netlogon service of the authenticating machine hướng the request đến bottom half của gói MSV. The bottom half of the MSV Authentication Package truy vấn the passwords trong SAM và so sánh nó để đảm bảo passwords nhập vào có hợp lện không.

DOMAIN LOGON NetLogon service Bottom HALF SAM TOP HALF NetLogon service Logon Request 1.Send Hashed password 2.Send request 3.nonce 4.Merged password 5.Send m-p query reply 6.result 7.result

Cracking Password Three basic types of password cracks exist: Dictionary attacks Hybrid attacks Brute force attacks

Dictionary Attacks Dictionary password attack là lôi những từ trong từ điển hay một danh sách từ(wordlist) để thử tìm ra password của một user. Dictionary attack sử dụng một từ điển định trước để tìm kiếm sự hợp nhau giữa password được mã hóa và từ trong từ điển được mã hóa Dictionary attack khôi phục password của một user trong một thời gian ngắn nếu những từ trong dictionary được sử dụng đơn giản.

Hybrid Attacks Hybrid attack cũng sử dụng một từ điển hay một danh sách từ tương tự như dictionary attack nhưng nó thông minh hơn ở chỗ tự động gắn thêm những ký tự và số tới những từ trong từ điển để thử bẻ khóa password của user. Ví dụ: Một user có password là password Những biến thể: 1password, password1, p@ssword, pa44w0rd, …

Brute force Attacks Brute force attack sử dụng những số và ký tự ngẫu nhiên để bẻ khóa password của một user Brute force thử kiểm định mỗi bộ kết hợp của letters, numbers, and characters Brute force attack trên một password được mã hóa có thể mất nhiều giờ,ngày,tháng,hoặc năm,phụ thuộc vào độ phức tạp và chiều dài của password Tốc độ thành công phụ thuộc vào tốc độ công suất CPU

Tool: Cain Cain là công cụ đa năng có khả năng thực hiện nhiều tác vụ khác nhau,bao gồm: password cracking, Windows enumeration, and VoIP sniffing,… Phần password cracking của chương trình có thể thực hiện là dictionary,brute force,và đặc biệt sử dụng pre-computer rainbow tables.

Rainbow Attack Trước đây, dictionary, hybrid, and brute force là những phương pháp chính được sử dụng để khôi phục password hay bẻ khóa chúng. Nhiều password được xem là an toàn vì thời gian để bẻ khóa chúng là khá lâu. Nhân tố thời gian là cái làm cho password thấy được bảo mật. Một phương pháp tương đối mới để bẻ khóa password được nảy sinh trong tư tưởng -> Rainbow Attack

Rainbow Attack RainbowCrack technique is the implementation of Philippe Oechslin's faster time-memory trade-off technique. Nó làm việc dựa trên việc tính trước tất cả password có thể có. Sau khi quá trình time-consuming này hoàn thành,password và thông tin khác được mã hóa của chúng được chứa trong một file gọi là rainbow table Một password được mã hóa có thể được so sánh nhanh với giá trị chứa trong table và bẻ khóa trong một vài giây. Ophcrack là công cụ bẻ khóa password áp dụng kỹ thuật rainbow table.

Introduction RainbowCrack is a general propose implementation of Philippe Oechslin's faster time-memory trade-off technique Function of this software is to crack hash

Brute force Cách crack hash không phức tạp lắm là brute force. Với Brute force ,tất cả plaintext đề cử và những hash tương ứng được tính 1-1(1plaintext-1hash) So sánh giá trị hash được tính với hash đích Nếu giống nhau thì plaintext được tìm ra Ngược lại,quá trình tiếp tục cho tới khi tìm hết các plaintext đề cử.

Time-memory Tradeoff Với time-memory trade-off,giá trị hash được tính trước và được lưu trong “rainbow table”. Sau đó,giá trị hash sẽ được tìm trong “rainbow table” bất cứ khi nào cần Quá trình pre-computation cần khá nhiều thời gian để tính trước tất cả các key space có thể có như brute force Nhưng một khi quá trình pre-computation hoàn thành,thì việc tìm trong bảng có thể nhanh hơn hàng trăm,hàng nghìn brute force.

Xây dựng RainbowCrack Phần mềm RainbowCrack gồm 3 công cụ chính: rtgen, rtsort, rcrack Step 1: Use rtgen program to generate rainbow tables Step 2: Use rtsort program to sort rainbow tables generated by rtgen. Step 3: Use rcrack program to lookup rainbow tables sorted by rtsort.

Step 1: Use rtgen program to generate rainbow tables rtgen hash_algorithm charset plaintext_len_min plaintext_len_max table_index chain_len chain_num part_index hash_algorithm : LM, NTLM, MD5,… Charset : Tập hợp tất cả những ký tự có thể dùng làm plaintext trong rainbow table,được định nghĩa trong charset.txt Ví dụ: alpha-numeric = [ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789] or loweralpha-numeric = [abcdefghijklmnopqrstuvwxyz0123456789]

Step 1: Use rtgen program to generate rainbow tables(cont) plaintext_len_min plaintext_len_max: hai tham số này định nghĩa chiều dài có thể có của tất cả plaintext trong rainbow table Table _index: tăng dần từ 0 trở lên,có liên quan đến "reduce function" được sử dụng trong rainbow table chain_len: là chiều dài của mỗi “rainbow chain” trong rainbow table. Một rainbow table chứa nhiều rainbow chain

Step 1: Use rtgen program to generate rainbow tables(cont) chain_num: số rainbow chain trong rainbow table part_index: tham số này xác định “start point” của mội dòng rainbow chain được phát sinh

Select Good Parameters hash_algorithm : lm, ntlm or md5 charset :alpha-numeric = or loweralpha-numeric plaintext_len_min : 1 plaintext_len_max : 7 chain_len : 3800 chain_num : 33554432 key space : 36^1 + 36^2 + 36^3 + 36^4 + 36^5 + 36^6 + 36^7 = 80603140212 key space is the number of possible plaintexts for the charset, plaintext_len_min and plaintext_len_max selected. table size: 3 GB success rate : 0.999 (99.9%)

Commands table generation commands : rtgen md5 loweralpha-numeric 1 7 0 3800 33554432 0 rtgen md5 loweralpha-numeric 1 7 1 3800 33554432 0 rtgen md5 loweralpha-numeric 1 7 2 3800 33554432 0 rtgen md5 loweralpha-numeric 1 7 3 3800 33554432 0 rtgen md5 loweralpha-numeric 1 7 4 3800 33554432 0 rtgen md5 loweralpha-numeric 1 7 5 3800 33554432 0 Lưu ý: nếu sử dụng thuật toán LM thì charset phải là alpha-numeric.LM không bao giờ sử dụng lowercase trong plaintext

Commands(cont) Mỗi dòng lệnh trên tốn khoảng 4h trên Core2 Duo E7300 processor để hoàn thành Sau đó phát sinh ra file "md5_loweralpha-numeric#1-7_0_3800x33554432_0.rt" có kích thước là 512MB Cuối cùng có 6 file : md5_loweralpha-numeric#1-7_0_3800x33554432_0.rt 512MB md5_loweralpha-numeric#1-7_1_3800x33554432_0.rt 512MB md5_loweralpha-numeric#1-7_2_3800x33554432_0.rt 512MB md5_loweralpha-numeric#1-7_3_3800x33554432_0.rt 512MB md5_loweralpha-numeric#1-7_4_3800x33554432_0.rt 512MB md5_loweralpha-numeric#1-7_5_3800x33554432_0.rt 512MB

Step 2: Use rtsort program to sort rainbow tables Rtsort được sử dụng để sắp xếp “end point” của tất cả rainbow chain trong rainbow table để cho việc tìm kiếm bảng được dễ dàng rtsort md5_loweralpha-numeric#1-7_0_3800x33554432_0.rt rtsort md5_loweralpha-numeric#1-7_1_3800x33554432_0.rt rtsort md5_loweralpha-numeric#1-7_2_3800x33554432_0.rt rtsort md5_loweralpha-numeric#1-7_3_3800x33554432_0.rt rtsort md5_loweralpha-numeric#1-7_4_3800x33554432_0.rt rtsort md5_loweralpha-numeric#1-7_5_3800x33554432_0.rt Mỗi dòng lệnh mất khoảng 1-2phút để hoàn thành

Step 3: Use rcrack program to lookup rainbow tables Rcrack được sử dụng để tìm rainbow table. Nó chỉ nhận những rainbow table đã được sắp xếp Giả sử những bảng rainbow đã được sắp xếp được đặt trong thư mục c:\rt,để crack ta dùng lệnh: rcrack c:\rt\*.rt -h your_hash_comes_here - The first parameter specifies the path to the rainbow tables to lookup - The "*" and "?" character can be used to specify multiple files. - Thông thường mất khoảng 2-10s để hoàn thành,nếu plaintext nằm trong charset được chọn và chiều dài plaintext.Ngược lại thì mất khá lâu để tìm trong tất cả các bảng

Step 3: Use rcrack program to lookup rainbow tables(cont) Crack multiple hashes,đặt tất cả hash trong file text,mỗi hash một dòng : rcrack c:\rt\*.rt -l hash_list_file Nếu rainbow table được tạo sử dụng thuật toán LM,thì chương trình rcrack đặc biệt hỗ trợ nó với tùy chọn “-f” rcrack c:\rt\*.rt -f pwdump_file

Step 3: Use rcrack program to lookup rainbow tables(cont) A hash dump file in pwdump format is required as input to rcrack program. The file will looks like this: Administrator:500:1c3a2b6d939a1021aad3b435b51404ee:e24106942bf38bcf57a6a4b29016eff6::: Guest:501:a296c9e4267e9ba9aad3b435b51404ee:9d978dda95e5185bbeda9b3ae00f84b4::: The pwdump file is the output of pwdump2, pwdump3 or other utilities. It contains both the lm hash and the ntlm hash. Thuật toán LM chuyển tất cả chữ thường trong plaintext thành chữ HOA,kết quả là plaintext qua LM hash không bao giờ chứa chữ thường,trong khi thực tế plaintext có thể chứa chữ thường.Chương trình rcrack sẽ thử hiệu chỉnh trường hợp đó với NTLM hashes chứa trong file SAM và xuất ra plaintext nguồn.

V.DEMO Crack password trong LAN(pwdump) Crack trong physical Crack pass trong Lan (sniffer)

Demo Crack password trong LAN Giả sử trên máy victim ta đã biết user “minh” password là “hacker” thuộc group administrators(thông qua việc sniffer bằng Cain,…) Đầu tiên ta dùng pwdump3.exe để lấy thông tin hash trong file SAM của máy victim. pwdump3.exe IPAddr [OutputFile] [UserName]

Demo Crack password trong LAN pwdump3.exe 10.0.0.2 C:\password.txt minh Sau đó nhập password của user minh

Demo Crack password trong LAN

Demo : Physical- lấy file SAM Tool : đĩa cd,usb hỗ trợ boot, Cain Điều kiện : máy victim phải cho phép boot từ thiết bị ngoại vi Trong môi trường boot copy file SAM trong thư mục %systemroot%/system32/config sang thiết bị lưu trữ khác như usb … Dùng tool để crack pass file SAM của victim

Demo: Physical- lấy file SAM Trong cain : Click chọn biểu tượng dấu + Chọn import hashes from SAM databse Click “…” của SAM file name chọn file SAM cần crack Click “…” của boot key(HEX)-> load system boot key (hoặc chọn đường dẫn đến file syskey)để lấy chuỗi hex Copy chuỗi hex dán vào ô boot key -> next Tiến hành crack

Khởi động máy tính chọn chế độ boot từ cd Chọn Start mini XP để chạy winXP live Cd Truy cập vào thư mục windows/system32/config của ổ đĩa local Copy 2 file SAM và syskey Demo: Physical- lấy file SAM

Boot từ cd Chọn start boot Cd Chọn password & resgistry tool Chọn active password changer (hoặc bất kì mục nào cũng được đều có tác dụng tương tự) Chọn 1 để lấy file sam trên ổ cứng local Chọn user cần crack Chọn clear this user pass Nhấn y , khởi động lại máy Demo: Physical- Phá password

Demo : Sniffer password Topology : 1 máy server (10.10.10.253/24) , thư mục chia sẻ Data server, user dang là user để đăng nhập vào server 1 máy tính cùng mạng với server(10.10.10.11/24) sniffer password của user dang trong môi trường LAN Chọn id của phân vùng chứa file Sam

Một số cách hạn chế password cracking. Làm thế nào để có một mật khẩu bảo mật. Những khuyến cáo đặt password khác.

Làm thế nào để có một mật khẩu bảo mật. Áp đặt chính sách độ dài tối thiểu của mật khẩu là 8 và tốt nhất là 15. Yêu cầu phải có những ký tự đặc biệt, số, chữ hoa, chữ thường trong một mật khẩu. Không sử dụng bất kỳ từ khóa nào trong từ điển English hay những nước khác. Không sử dụng Password giống tên Username, và phải thay đổi thường xuyên. Chọn Password bạn dễ dàng sử dụng mà người khác khó đoán biết được.

Những khuyến cáo đặt password khác. Đừng bao giờ sử dụng ghép hai từ với nhau để được một Password ví như: vnevne. Không đặt Password dễ đoán. Không đặt password quá ngắn. Không đặt Password mà từ thường xuyên gõ đúng như: asdf;lkj. Hãy thay đổi mật khẩu thường xuyên ít nhất một tháng một lần – Hãy thay đổi ngay lập tức khi phát hiện ra mật khẩu của mình bị người khác sử dụng.

Những khuyến cáo đặt password khác (tt). Đừng bao giờ chứa Password trên máy tính của bạn. Không nói cho người khác biết mật khẩu của mình. Không gửi mail và tránh đặt trùng Password trên nhiều ứng dụng. Không ghi Password của mình ra cho dễ nhớ. Khi gõ Password hãy cẩn thận với các loại Keyloger và người xem trộm.

Report password cracking (2)

More Related Content

Similar to Report password cracking (2) (20)

More from phanleson (20)

Recently uploaded (20)

Report password cracking (2)