Testo: Session Start: Thu Apr 28 21:02:21 2005 Session Ident: #oilproject-hack [21:02] * Logging #oilproject-hack to 'C:\andrea\#oilproject-hack.Azzurra.log' [21:02] no [21:02] * zero_the sets mode: +m [21:02] dai iniziamo [21:02] stasera si parla di password [21:02] sia di windows [21:02] sia di linux [21:02] sperando di avere abbastanza tempo [21:03] iniziamo con windows [21:03] dunque [21:03] sicuramente [21:03] avrete sentito parlare del famoso file SAM [21:03] * [DevilMayCry] has joined #oilproject-hack [21:03] Security Account Manager [21:03] * bigfantasy has joined #oilproject-hack [21:03] che contiene le password degli account di un sistema nt [21:03] quindi [21:04] ̃®’Ì‚å? un file molto importante [21:04] e per questo [21:04] ̃®’Ì‚å? protetto da un processo [21:04] lsass [21:04] si proprio quello che exploitava il sasser [21:04] il file SAM [21:04] lo trovate [21:05] in windows\system32\config [21:05] e in [21:05] windows\repair [21:05] ̃®’Ì‚å? senza estensione [21:05] e nella stessa cartella trovate [21:05] anche [21:05] il file [21:05] SYSTEM [21:05] che vi servir̃®’Ì‚å [21:05] se il SAM ̃®’Ì‚å? criptato ulteriormente con la protezione syskey [21:06] andiamo con ordine: [21:06] come lo preleviamo se ̃®’Ì‚å? protetto? [21:06] avete un paio di opzioni [21:06] 1)live cd [21:06] 2)floppy dos [21:06] con un live cd tipo knoppix [21:06] basta k avviate,copiate il file e poi lo decriptate con calma [21:07] potete anche rasarlo al suolo,resettando gli account [21:07] ma nn ̃®’Ì‚å? molto antisgamo ;) [21:07] con un floppy dos [21:07] c'e una piccola variante [21:07] ovvero che per esempio windows XP [21:07] usa spesso il filesystem NTFS [21:07] e il dos [21:07] non lo legge [21:07] quindi [21:08] vi dovete cercare un utility tipo [21:08] ntfs reader [21:08] che vi fa un floppy di avvio [21:08] capace di leggere ntfs [21:08] dal quale avviate e copiate i 2 file k vi servono [21:08] ci sarebbero anche tool tipo [21:08] pwdump samdump getadmin ecc [21:09] ma richiedono permessi di scrittura in system32\ [21:09] e se cercate la pass di admin,nn li avrete di sicuro ;) [21:09] poi sui nuovi sistemi nn funzano [21:09] quindi torniamo ai floppy :D [21:09] una volta prelevati sti file [21:09] 2 sec [21:10] ok [21:10] una volta prelevato [21:10] avviate il vostro windows [21:10] e smanettate sul file [21:10] in k modo? [21:10] semplice [21:10] * JavaUser|3963 has joined #oilproject-hack [21:10] gli algoritmi usati x criptare il file [21:10] sia in windows k in linux(ds) [21:11] *des [21:11] * JavaUser|3963 has left #oilproject-hack [21:11] nn ̃®’Ì‚å? reversibile [21:11] ovvero [21:11] dalla pass criptata nn puoi risalire [21:11] alla pass originale [21:11] se non [21:11] provando a criptare password e confrontandole con quella da crackare [21:11] e questo ̃®’Ì‚å? pĩ®’Ì‚å? o meno quello k fanno i programmi [21:12] tipo lophtcrack [21:12] detto LC4 [21:12] ecc [21:12] per̃®’Ì‚å? ci mettono molto tempo [21:12] xke ci sono tantissime combinazioni [21:12] e poi dipende da k attacco fate [21:12] se usate un dizionario di parole,ci metterete di menio [21:12] *meno [21:13] ma nn potete essere sicuri k la pass sia nel dizionario [21:13] se usate un bruteforce [21:13] ci metter̃®’Ì‚å molto tempo [21:13] xke [21:13] prover̃®’Ì‚å tutte le combinazioni [21:13] in che modo? [21:13] in alcuni programmi [21:14] tipo John the ripper x le pass di linux [21:14] * Ap has left #oilproject-hack [21:14] prova prima associando il nome reale ecc e combinandolo con altre info [21:14] xke spesso le pass sono legate a quest'ultime [21:14] in latri [21:14] *altri [21:14] parte da una stringa di 4 cifre [21:14] "aaaa" [21:14] e via via le prova tutte [21:14] fino a "zzzz" [21:15] con anche i numeri e le maiuscole a seconda delle opzioni [21:15] poi riparte [21:15] (per ki volesse prova John http://www.openwall.com//john/ , c'̃®’Ì‚å? anke per windows) [21:15] aggiungendo un carattere [21:15] ovvero [21:15] "aaaaa" [21:15] capite k ci mette mooolto [21:15] anche xke [21:15] se la pass ̃®’Ì‚å? di 6 cifre [21:15] ve la cavate con relativamente poco tempo [21:16] ma se ̃®’Ì‚å? di 14 [21:16] potreste metterci anche dei giorni [21:16] * `elisa has joined #oilproject-hack [21:16] naturalmente centra anche la velocit̃®’Ì‚å della cpu [21:16] al sito [21:16] www.thekey.it [21:16] trovate un immagine di un floppy [21:16] detto [21:16] SAM-floppy [21:16] (k fantasia :D) [21:17] k vi aiuta nel vostro lavoro [21:17] e nella versione attuale [21:17] la 2.0 [21:17] vi cerca anche da solo il file SAM [21:17] ah [21:17] uan cosa [21:17] prima ho detto che il SAM potrebbe essere criptato ulteriormente con il syskey [21:18] x togliere questa protezione dovrete usare programmi apposta [21:18] come [21:18] SAMinside [21:18] o pwsex [21:18] ricapitolando [21:18] * JavaUser|5330 has left #oilproject-hack [21:18] prelevate il file [21:18] togliete il syskey [21:18] e date in pasto a LC4 [21:18] o altri simili [21:18] e aspettate [21:18] ;) [21:18] domande? [21:18] * MagicGnappo[fuori] has left #oilproject-hack [21:19] alzate la mano mi raccomando [21:19] * zero_the sets mode: -m [21:19] * MagicGnappo has joined #oilproject-hack [21:19] <[DevilMayCry]> io [21:19] * bigfantasy alza la mano [21:19] <[DevilMayCry]> posso? [21:19] il syskey si toglie con cosa? [21:19] capito [21:19] D [21:19] :D [21:19] k [21:19] niente [21:19] :D [21:19] posso? [21:19] * zero_the sets mode: +m [21:19] il prossimo k parla senza il mio permesso kick [21:19] * zero_the sets mode: -m [21:19] vai bigfantasy [21:19] ma questo procedimento a cosa serve? [21:19] io sono arrivato in ritardo [21:19] * zero_the sets mode: +m [21:19] questo serve [21:20] per ricavare le password di un sistema windows [21:20] avendo il file SAM [21:20] k si trova in [21:20] windows\system32\config [21:20] * zero_the sets mode: -m [21:20] * jaxgigi alza la mano [21:20] jaxgigi dimmi [21:20] * bigfantasy alza la mano [21:20] ho gĩ®’Ì‚å fatto questa cosa [21:20] qualche volta [21:20] e spesso mi ̃®’Ì‚å? capitato [21:21] che sia system [21:21] che sam [21:21] nn ci stiano [21:21] su floo [21:21] *floppy [21:21] tipo 6 mb [21:21] e le partizioni essendo in ntfs [21:21] nn si potevano scrivere.... [21:21] cosa faresti? [21:21] * zero_the sets mode: +m [21:21] in questo caso [21:21] * JavaUser|8633 has joined #oilproject-hack [21:21] knoppix e cd rw ;) [21:21] cosi lo metti su cd rw [21:22] e ci sta... [21:22] * zero_the sets mode: -m [21:22] * [DevilMayCry] alza la mano [21:22] * bigfantasy alza la mano [21:22] [DevilMayCry] dimmi [21:22] <[DevilMayCry]> zero volevo solo chiederti 1 cosa [21:22] * mAr[K]o has quit IRC (Quit: KVIrc 3.2.0 'Realia') [21:22] <[DevilMayCry]> e dire un'altra [21:22] <[DevilMayCry]> allora [21:22] vai [21:22] <[DevilMayCry]> come si disattiva il syskey col saminside? [21:23] * zero_the sets mode: +m [21:23] avvii [21:23] il saminside [21:23] e gli dai la posizione dei due file [21:23] poi non mi ricordo a memoria cosa devi cliccare...ma era intuitivo,me lo ricordo [21:23] ah jaxgigi [21:23] in pvt [21:23] mi ha segnalato un live cd interessante [21:24] ubcd 4 windows, un PE di windows che include anche utility per decriptare SAM e supporta ntfs [21:24] grazie jaxgigi ;) [21:24] * zero_the sets mode: -m [21:24] :) [21:24] <[DevilMayCry]> ok [21:24] * bigfantasy alza la mano [21:24] bigfantasy dimmi [21:24] <[DevilMayCry]> volevo dire [21:24] ma ammettiamo che io avvio knoppix [21:24] <[DevilMayCry]> posso solo na cosa? [21:24] * zero_the sets mode: +m [21:25] asp̃®’Ì‚å?...prima faccio finire [DevilMayCry] e poi risp a bigfantasy ;) [21:25] * zero_the sets mode: -m [21:25] <[DevilMayCry]> grazie :P [21:25] zero_the, io devo finire ancora la domanda :P [21:25] <[DevilMayCry]> volevo dire a jax [21:25] <[DevilMayCry]> che con la live cd di knoppix tipo l'ultima [21:25] <[DevilMayCry]> c'̃®’Ì‚å? il supporto di compressione [21:25] <[DevilMayCry]> con gzip [21:26] * mAr[K]o has joined #oilproject-hack [21:26] * jaxgigi posso rispondere? [21:26] <[DevilMayCry]> se gzippi i due file con il gzip [21:26] <[DevilMayCry]> ce la fai a metterli tutti e 2 su un floppy [21:26] <[DevilMayCry]> :P [21:26] jaxgigi ok ;) [21:26] io l'ho fatto [21:26] i problemi sono un paio.... [21:26] 1) dipende dal SO utilizzato [21:26] su Wxp system occupa sugli 8mb [21:27] ma su un W2003 ent system occupa anche 30mb [21:27] e gzippato o no, nn ci sta [21:27] una soluzione sarebbe nel splittarlo [21:27] oppure con ubcd [21:27] che supporta anche la scrittura [21:27] su ntfs [21:27] quindi li copii in un altra [21:27] cartella e fai tutto con calma [21:27] :) [21:28] ok [21:28] <[DevilMayCry]> era quello che ho cercato di fare con knoppix e non cui sopno riuscito :P [21:28] ora tocca a bigfantasy ;) [21:28] grazie :) [21:28] allora.. [21:28] ammettiamo che io avvio knoppix [21:28] come faccio a copiare i file che devo decriptare? [21:28] * zero_the sets mode: +m [21:28] li copi su floppy o cd [21:28] * zero_the sets mode: -m [21:29] e come? [21:29] * zero_the sets mode: +m [21:29] hai mai aperto linux 1 volta? [21:29] * zero_the sets mode: -m [21:29] zero_the, uso gentoo :DD [21:29] * zero_the sets mode: +m [21:29] e allora quel'̃®’Ì‚å? il problema? li copi come un qualsiasi file [21:29] * zero_the sets mode: -m [21:29] * MagicGnappo alza la mano [21:30] si..e che stavo pensando un'altra cosa :D [21:30] * Sabba15 ho una domanda [21:30] ciõ®’Ì‚å?? [21:30] che differenza c'̃®’Ì‚å? tra il file SAM in system32 e quello in repair? [21:31] Sabba15 in repair ̃®’Ì‚å? una copia di sicurezza... [21:31] MagicGnappo dimmi [21:31] aspe [21:31] ho letto in internet ke lc4 si trova sl in versione trial [21:31] :D [21:31] * zero_the sets mode: +m [21:31] so k nn dovrei dirlo [21:31] ma se lo dovete usare solo una volta [21:31] potete usare un crack [21:32] oppure [21:32] se n volete [21:32] xke avete un etica k nn lo accetta [21:32] usate uno strumento free [21:33] pero se lo usate x crackare le pass di un pc non vostro,cosa k nn dovreste fare,ma k so k qualcuno far̃®’Ì‚å ,nn vedo k problema dovrebbero esserci ad usare un crack [21:33] nel senso [21:33] ̃®’Ì‚å? inutile fare gli etici x un crack se poi usate il programma x rubare pass... [21:33] kmq [21:33] se crackate un sam [21:33] x sfida [21:33] anche se non ̃®’Ì‚å? vostro [21:33] non vi biasimo ;) [21:34] * zero_the sets mode: -m [21:34] * whiter4bbit alza la mano [21:34] basta k nn diventi un abitudine crackare programmi a manetta [21:34] ;) [21:34] whiter4bbit dimmi [21:34] c'̃®’Ì‚å? un modo per fare tutto cĩ®’Ì‚å? da linux? equivalenti per linux di l0phtcrack e saminside? [21:35] mmm [21:35] dovrebbe [21:35] ma nn ho mai provato,xke ho sempre tenuto una doppia partizione windows/linux ;) [21:35] kmq [21:35] credo che il problema maggiore sia il saminside :\ [21:35] * zero_the sets mode: +m [21:35] passiamo alle pass in linux [21:35] dunque [21:36] sono contenute in /etc/passwd [21:36] e sono criptate in DES [21:36] ma nel file passw [21:36] nn contiene solo la passwd e il login [21:36] * JavaUser|0037 has joined #oilproject-hack [21:36] infatti ̃®’Ì‚å? fatto da stringhe di questo tipo: [21:37] * JavaUser|1659 has joined #oilproject-hack [21:37] login:passcriptata:userID:groupID:Nome:home:shell [21:37] ovvero [21:37] il nome di login [21:37] la pass [21:37] l'user id [21:37] k ̃®’Ì‚å? un numero [21:37] univoco [21:37] assegnato ad ogni utente [21:37] root -> 0 [21:38] il group ID [21:38] k ̃®’Ì‚å? il numero associato al gruppo dell'utente [21:38] root -> 0 [21:38] * hackedmind has left #oilproject-hack [21:38] il nome reale [21:38] la home dir [21:38] e la shell usate [21:38] *a [21:38] di solito /bin/bash [21:38] il file [21:38] ̃®’Ì‚å? leggibile da tutti [21:39] quindi ua volta copiato [21:39] si usa John The ripper [21:39] * poe has left #oilproject-hack [21:39] k cracka il file [21:39] o meglio [21:39] cripta un serie di pass [21:39] e le compara [21:40] finche nn trova quella k corrisponde a quella del file passwd [21:40] xke come abbiamo detto [21:40] il DES [21:40] nn ̃®’Ì‚å? reversibile [21:40] a volte [21:40] per̃®’Ì‚å? [21:40] nel file passwd [21:40] al posto della pass c'e un simbolo detto "token" [21:40] k pũ®’Ì‚å? essere [21:40] * [21:40] o [21:40] + [21:40] ecc [21:41] questo xke ̃®’Ì‚å? stata applicata un ulteriore protezione [21:41] ovvero [21:41] il metodo shadow [21:41] k rimpiazza la pass criptata [21:41] con un token [21:41] la cripta ulteriormente [21:41] e la salva [21:41] in /etc/shadow [21:41] niente paura,esistono molti tool x deshadowizzare il file [21:42] e dopo di k lo date in pasto a John the ripper [21:42] fin qui domande? [21:42] * zero_the sets mode: -m [21:42] wow tutto chiaro [21:42] ;) [21:42] * JavaUser|8633 Quanto ci mette approssimativamente John x decriptare le password [21:42] ? [21:42] * zero_the sets mode: +m [21:42] john the ripper [21:42] o usa dizionari [21:43] o per il bruteforce [21:43] applica un metodo un po pĩ®’Ì‚å? intelligente [21:43] ciõ®’Ì‚å? [21:43] legge il nome reale e la home ecc [21:43] e prova ad associarli [21:43] con nome utente e pass [21:43] poi solo dopo [21:43] passa al vero brute force [21:44] e anche lui ci mette molto [21:44] anche se [21:44] nel bruteforce [21:44] applica delle regole [21:44] del tipo [21:44] k prima di provare proprio tutte le combinazioni [21:44] prova quelle pĩ®’Ì‚å? logiche [21:44] in pratica dice [21:45] vicino a una "z" ̃®’Ì‚å? meno probabile k ci sia una "p"..ci sar̃®’Ì‚å una vocale [21:45] poi alla fine [21:45] passa al bruteforce duro e puro [21:45] * zero_the sets mode: -m [21:45] /me Potrei comparare i tempi con quelli di un programma per il crack di archivi ? (Advanced Archive Psw Recovery) [21:45] * mAr[K]o has quit IRC (Quit: KVIrc 3.2.0 'Realia') [21:45] * zero_the sets mode: +m [21:45] ehm [21:45] in linux [21:46] una pass pũ®’Ì‚å? essere anche 255 caratteri [21:46] * Slick has joined #oilproject-hack [21:46] con il metodo md5 [21:46] in un archivio nn so quanto sia il massimo [21:46] kmq [21:46] il bruteforce [21:46] * Slick has left #oilproject-hack [21:46] ̃®’Ì‚å? sempre bruteforce [21:46] sia su archivi k su file delle pass [21:46] * zero_the sets mode: -m [21:47] * Bluesy domandina idiota: posso? [21:47] Bluesy dimmi [21:47] * [DevilMayCry] is now known as [DevilMayCryMangia] [21:47] si parla di bruteforce... ma ̃®’Ì‚å? un nome generico giusto ? [21:47] * JavaUser|8633 is now known as jarmster [21:47] ci sono diversi tipi di soft che fanno bruteforce [21:47] si [21:47] molti [21:48] come si fa a sapere quello che serve ? [21:48] * zero_the sets mode: +m [21:48] beh disolito x ogni programma c'e una breve descizione [21:48] kmq [21:48] * jarmster has left #oilproject-hack [21:48] se devi crackare il sam [21:48] e ti trovi un programma k ti chiede la porta dell'ftp,significa k hai sbagliato programma :D [21:49] * zero_the sets mode: -m [21:49] eheheh :$ [21:49] * whiter4bbit alza la mano [21:49] whiter4bbit dimmi [21:49] un paio di domande [21:49] * JavaUser|4771 has joined #oilproject-hack [21:49] * JavaUser|4771 is now known as jarmster [21:49] * mAr[K]o has joined #oilproject-hack [21:50] il metodo shadow che livello di sicurezza offre? voglio dire, se ̃®’Ì‚å? solo una criptazione in pĩ®’Ì‚å? serve a poco (a parte che non ̃®’Ì‚å? leggibile da tutti, ma questo lo si bypassa facilmente) [21:50] * zero_the sets mode: +m [21:50] beh [21:50] il file shadow [21:50] nn ̃®’Ì‚å? accessibile a tutti [21:50] e quidni [21:50] *quindi [21:50] il lavoro diventa un pochino pĩ®’Ì‚å? difficile [21:51] ma ̃®’Ì‚å? kiaro k se uno ̃®’Ì‚å? determinato pũ®’Ì‚å? fare tutto [21:51] soprattutto se ha accesso fisico alla macchina [21:51] * zero_the sets mode: -m [21:51] e quali programmi si usano contro lo shadow, prima di passare a john? :) [21:51] * Ap has joined #oilproject-hack [21:51] * Sanny has joined #oilproject-hack [21:51] nn mi ricordo i nomi,ma con google ne trovi una cifra [21:52] ah e che algoritmo usa shadow? sempre il dES? [21:52] no.. [21:52] un altro [21:52] ok thx :) [21:52] di niente ;) [21:52] domande? [21:53] ok [21:53] * zero_the sets mode: +m [21:53] ora [21:53] facciamo finta di aver preso le passwd [21:53] e di voler mettere una semplice backdorr [21:53] *backdoor [21:53] avete una vaga idea di k stringa aggiungere al file passwd? [21:53] * zero_the sets mode: -m [21:54] una stringa [21:54] vuota [21:54] tipo [21:54] lll::etc [21:54] senza pass [21:54] e con un utente che si confonda [21:54] bravo [21:54] con quelli di sistema [21:54] :) [21:54] ovvero [21:54] mail [21:54] o syslogg [21:54] con 2 g [21:54] :) [21:54] login::0:0:nome:home:/bin/sh [21:55] al posto di login [21:55] mettete qualcosa [21:55] analiziamo [21:55] la stringa [21:55] dopo il login [21:55] omettiamo la password [21:55] con :: [21:55] ovvero lasciamo vuoto il campo passwd [21:55] * Lost_Dragon has joined #oilproject-hack [21:55] poi [21:55] 0:0 [21:55] privilegi root [21:55] e [21:55] * LostDragon has quit IRC (Read error: Connection reset by peer) [21:56] la shell root /bin/sh [21:56] domande? [21:56] tutto chiaro :) [21:56] concordo... [21:56] :) [21:56] chiaro... [21:56] * Sabba15 : domanda [21:57] dimmi Sabba15 [21:57] utilizzando questo metodo dell'aggiunta della stringa [21:57] non ho pĩ®’Ì‚å? bisogno di scovare qualche password [21:57] mi aggiungo semplicemente agli utenti [21:57] giusto? [21:57] si [21:57] si [21:57] pero [21:57] ok [21:57] ;9 [21:57] * zero_the sets mode: +m [21:57] per̃®’Ì‚å? [21:57] 2 sec [21:58] ok [21:58] dicevo [21:58] k l'admin potrebbe scovare la stringa in pĩ®’Ì‚å? [21:58] * zero_the sets mode: -m [21:58] quindi [21:58] meglio usare altre backdoor [21:58] per compito [21:58] mi cercate cosa sono i rootkit,a cosa servono [21:59] se potete ne provate uno sul vostro pc [21:59] :) [21:59] come si tolgono [21:59] te lo stavo per dire... [21:59] :)) [21:59] x gioved̃®’Ì‚å prossimo [21:59] ;) [21:59] zero [21:59] cosa dobbiamo fare?nn ho capito.. [21:59] * zero_the sets mode: +m [21:59] allora [21:59] dovete [21:59] mettere mano a google [21:59] e cercare [21:59] cosa sono i "rootkit" [22:00] a cosa servono [22:00] xke si usano [22:00] come si tolgono [22:00] (a grandi linee) [22:00] e se potete ne provate uno [22:00] in locale [22:00] ;) [22:00] * zero_the sets mode: -m [22:00] sono dei cosi molto utili.....^_^ [22:00] va bene [22:00] ok [22:00] ok [22:01] ok ci provo [22:01] * mAr[K]o has quit IRC (Quit: KVIrc 3.2.0 'Realia') [22:01] chkrootkit [22:01] e rootkit sono la stessa cosa? [22:01] chkrootkit - Checks for signs of rootkits on the local system [22:01] gñ®’Ì‚å? :) [22:01] gñ®’̆‰€™Ìƒ‰€šÌ‚å?? [22:02] ora ragazzi vado ;) [22:02] ciao [22:02] ciao [22:02] ciao [22:02] mi raccomando fate i compiti :D :P [22:02] * Bluesy ringrazia il proff :> [22:02] ciao zero_the notte :) [22:02] ciao [22:02] zero... [22:02] no, non sono la stessa cosa :P chkrootkit ̃®’Ì‚å? un programma che puoi usare per scovare eventuali rootkit [22:02] notte :D [22:02] posso chiederti una cosa... [22:02] ? [22:02] ok whiter4bbit [22:02] i log saranno online il prima possibile ;) [22:02] grazie [22:02] jaxgigi dimmi [22:02] io ho installato un rootkit sul mio [22:02] una volta [22:02] ciao a a tutti, vado anche io. grazie zero_the [22:02] ma ho avuto seri problemi a toglierlo.... [22:02] * [DevilMayCryMangia] has quit IRC (Ping timeout) [22:02] ciao zero e grazie [22:03] tipo? [22:03] alla fine ho spianato dalla disperazione....consigli? [22:03] beh prima di metterlo [22:03] * Sabba15 has quit IRC (Quit: KVIrc 3.2.0 'Realia') [22:03] guarda dove va ad agire [22:03] per esempio [22:03] agiva sul login [22:03] su ps [22:03] se modifica sul prog di login [22:03] ed altro.... [22:03] li togli [22:03] e riinstalli solo i programmi k toccava [22:03] diciamo che conveniva fare un backup dei file [22:04] che toccava prima di installarlo.... [22:04] si anche [22:04] ok [22:04] grazie [22:04] e fare un checksum [22:04] ora vado ;) [22:04] ok [22:04] ciao a tutti [22:04] Ciauz ^_^ [22:04] * Disconnected Session Close: Thu Apr 28 22:04:32 2005