Administraitor-TipsWorum geht's?Der Begriff Administraitor setzt sich zusammen aus Administrator (Computer-Verwalter) und Traitor (Verräter), und beschreibt folglich jemanden, dem das Kennwort für das lokale Administratorkonto eines Windoof-Rechners mehr oder weniger unfreiwillig verraten wurde. ;-)In dieser Tipsammlung geht es nicht darum, wie man ein Netzwerk oder einen Server hackt, sondern wie man lokaler Administrator an einem Rechner mit geltenden Benutzerbeschränkungen wird und sich diesen nach seinen Wünschen einrichtet, damit man vernünftig daran arbeiten kann. Häufig besteht diese Notwendigkeit bei Firmenrechnern, die alle möglichen "Kindersicherungen" eingebaut haben und denjenigen Benutzer entmündigen, der gewohnt ist, zuhause als Power-User zu arbeiten. Alle Tips wurden an einem Win2k-System erfolgreich eingesetzt und dürften in der Regel auch unter Win NT/XP funktionieren. Die drei Schritte zum Erfolg1. Zugang erlangen: Let's get physical2. Passwort ermitteln: The crack 3. Als Administraitor arbeiten: Man at work 1. Zugang erlangen: Let's get physicalBei allen NT-basierten Windoofsystemen (Win2k/NT/XP) befinden sich die Passwörter als verschlüsselte Werte (Hashes) in der Datei "Sam", die im Ordner %WINDIR%\system32\config liegt. Ist das System mit Syskey verschlüsselt, was meist der Fall ist, so enthält die Datei "System", die ebenfalls in genanntem Ordner liegt, die Verschlüsselungsinformationen. Häufig befindet sich noch eine ältere Sicherungskopie der Datei "System" im Ordner %WINDIR%\repair. Diese Datei kann auch einen anderen Namen tragen, zum Beispiel "system.bak".Das Grundprinzip ist folgendes: Die Hashes für das Administratorkonto werden aus der "Sam" ausgelesen. Im Falle einer Syskey-Verschlüsselung wird die "System" benötigt, um die zusätzliche Verschlüsselung der Hashes zu knacken. Da die "System" manchmal nicht zum Erfolg führt, kann stattdessen auch die "system.bak" verwendet werden. Die gewonnenen Hashes werden dann im 2. Schritt geknackt. Da die benötigten Dateien in einem laufenden System gesperrt sind, muss man von einem anderen Betriebssystem darauf zugreifen, um sie zunächst zu kopieren und anschließend in Ruhe auszuwerten. Dazu hängt man entweder die Festplatte des zu knackenden Systems in einen anderen Win2k/NT/XP-Rechner oder man bootet, falls durch das BIOS ermöglicht, ein Betriebssystem von Diskette, CD oder USB-Stick. Setzt man DOS ein, so benötigt man für den Zugriff auf das NTFS-Dateisystem den DOS-Treiber NTFSDOS, den es als read-only Version kostenlos bei www.sysinternals.com gab. Seit diese kleine, aber feine Softwareschmiede von Microsoft übernommen wurde, ist das Tool dort - es überrascht einen kaum - nicht mehr zu finden, eine Googlesuche fördert aber genügend andere Downloadoptionen zutage. Im Zeitalter von bootfähigen Live-CDs wie Knoppix, Kanotix oder BartPE sind diese natürlich erste Wahl, da sie Zugriff auf NTFS und Unterstützung für USB-Sticks zum Kopieren der genannten Systemdateien bieten. Ohne einen USB-Stick benötigt man ein alternatives Medium mit Schreibzugriff. Dies kann z. B. eine FAT16- oder FAT32-Partition auf Festplatte/USB-Laufwerk, ein Zip-Drive oder eine Diskette sein. Im letzten Fall ist ein Packer erforderlich, um die Dateien auf unter 1,4 MB zu komprimieren oder ein Splitter, um sie auf mehrere Disketten zu verteilen. Hat man Zugriff auf einen Brenner, kann man auch CD-R/W, DVD-R/W oder DVD-RAM als Datenträger einsetzen, wobei für DVD-RAM spezielle Treiber erforderlich sind. Prinzipiell ist es auch möglich, die Systemdateien auf eine Partition des zu knackenden Systems selbst zu kopieren, um später Zugriff darauf zu haben. Es ist aber Vorsicht geboten, wenn es sich um eine NTFS-Partition handelt: Nur mit Original-Windoof-Treibern ist der Schreibzugriff gefahrlos möglich. Uneingeschränkt kann hier nur BartPE empfohlen werden, da es sich bei diesem Betriebssystem um ein originales abgespecktes Windoof XP handelt. Auch die NTFS-Treiber aktueller Linux-Live-CDs dürften mittlerweile ausgereift genug zum Schreibzugriff sein. Problematisch hingegen ist insbesondere der Einsatz des DOS-Treibers NTFSPRO, ebenfalls von www.sysinternals.com, der auch auf NTFS schreiben kann. Es kam bereits vor, dass der Schreibzugriff mit diesem Tool eine NTFS-Partition zerstörte. Da der Treiber ohnehin nicht mehr verkauft wird und eine gecrackte Fassung im Netz nur sehr schwer zu finden sein soll, stellt er keine brauchbare Alternative dar. 2. Passwort eruieren: The crackNach dem erfolgreichen Kopieren der Systemdateien erfolgt das Auslesen und Entschlüsseln der Hashes. Das Entschlüsseln erfolgt entweder mit den zur Zeit populären Rainbow-Tabellen oder mit einem Brutforce-Programm, das alle möglichen Passwortkombinationen testet. Mit Rainbow-Tabellen kann der Zeitaufwand gegenüber der Brutforce-Methode drastisch verkürzt werden, dafür sind sie aufwendig in der Erstellung und scheitern an sog. "gesalzenen" Passwörten. Wir bleiben hier beim guten alten Bruteforcen und benutzen dazu das Programm SAMInside der russischen Softwareschmiede InsidePro (August 2007: Link ist z. Z. down). Dessen Vollversion ist kostenpflichtig, soll aber mit etwas Glück und Ausdauer ebenfalls als Crack im Netz gefunden werden können, wobei es nicht die neueste Ausgabe sein muss.Nach dem Start des Progs importiert man zunächst die "Sam" und im Fall einer Syskey-Verschlüsselung auch die "System". Beendet sich das Prog unerwartet, wiederholt man den Prozess, verwendet aber die "system.bak". Daraufhin werden sämtliche lokale Benutzerkonten mit ihren Hashes angezeigt. Entscheidet man sich an dieser Stelle, mit Rainbow-Tabellen zu arbeiten, kann man die Hashes eines Admin-Kontos aus der Textdatei "Saminside.hashes" kopieren. Da SamInside in der Lage ist, mehrere Konten parallel zu prüfen, kann man deren Passwörter bei Bedarf auch gleichzeitig knacken. Einfache Benutzerkonten sind hierbei allerdings uninteressant. Manche Administratorkonten sind als einfache Benutzerkonten getarnt. Bei SAMInside fliegt dieser Schwindel auf, da das Prog anzeigt, welcher Kontentyp vorliegt. Entscheidend für die Dauer des Cracks ist die Wahl des Zeichensatzes. Empfehlenswert ist zunächst die Wahl von Buchstaben und Ziffern, da viele Passwörter aus nur diesen bestehen. Führt dies nicht zum Erfolg, muss man den Zeichensatz um Sonderzeichen erweitern und sich auf eine mehrtägige neue Berechnung einstellen. SAMInside crackt immer zunächst das sog. LANMAN-Passwort, bei dem es keinen Unterschied zw. Groß- und Kleinschreibung gibt, und ermittelt daraus automatisch das eigentliche NT-Passwort. Der große Vorteil dabei ist, dass man für den Zeichensatz lediglich Großbuchstaben vorgeben muss, was die Rechenzeit in erträglichen Grenzen hält. Mit etwas Glück und ohne Sonderzeichen sind 5 Stunden selbst mit einem uralten Pentium III drin. Wesentlich flotter zur Sache geht es mit einem schnellen Dual-Core-Prozessor, denn man kann hier zwei Instanzen von SAMInside gleichzeitig laufen lassen, wobei jede Instanz je eine Hälfte des Passwortbereichs abdeckt. Bild 1: SAMInside bei der Arbeit Tips zu SAMInside:
3. Als Administraitor arbeiten: Man at workIst das Passwort endlich "recovered", beginnt der mühsame, doch erstrebenswerte Arbeitsalltag des Administraitors, für den die nachfolgenden Tips zusammengestellt wurden.Registry bearbeitenDie Bordmittel zum Bearbeiten der Registry, regedit.exe und regedt32.exe, sind auf einem Firmenrechner für normale Benutzer fast immer gesperrt. Für lokale Administraitoren hingegen sind die beiden Tools meist freigegeben, da sonst ein Bearbeiten der Registry außerhalb eines Netzwerks nicht mehr möglich wäre. Doch auch für normale Benutzer kann der Einsatz eines Registry-Editors ermöglicht werden:Besorge dir einen alternativen Registry-Editor wie z. B. RegistarLite. Diese Editoren sind fast nie gesperrt und oft besser als die Bordwerkzeuge zu bedienen. Falls du Regedit- oder Regedt32-Fan bist, hier auch der Weg, wie die Freischaltung geht: Melde dich als Administraitor und ändere für den entsprechenden Benutzer unter [HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxx \Software\Microsoft\Windows\CurrentVersion\Policies\System den Eintrag DisableRegistryTools von 1 auf 0. Die "xxxxx" stehen für die Zahlen der Benutzer-SID. Hinweis: Auch wenn man als normaler Benutzer einen Registry-Editor starten und in der Registry lesen kann, so sind viele Zweige der Registry für das Bearbeiten gesperrt, weil eine Berechtigung fehlt. Wenn man die Berechtigungen nicht ändern möchte, muss man den Editor als Administraitor starten. Im nächsten Tip ist beschrieben, wie das bequem geht. Voll- oder Teilzeit?Der Administraitor ist ein vorsichtiger, aber fauler Mensch. Aus Sicherheitsgründen möchte er als einfacher Benutzer am System arbeiten, und sich nur für notwendige Einstellungen als Administrator anmelden. Die Ab- und Anmeldeprozeduren zwischen Benutzer- und Administatorkonto werden aber auf Dauer schnell lästig. Gibt es einen einfacheren Weg?Seit Win2k gibt es das Programm "Runas" und damit die Möglichkeit, ein Programm unter einem bestimmten Benutzerkonto zu öffnen. (Explorer - Shift + Rechtsklick auf die Datei und "Ausführen als"). So kann man - ohne sich als Benutzer abmelden zu müssen - mal schnell eine Eingabeaufforderung, Regedit oder die Systemsteuerung als Administrator öffen. Lästig ist bloß, dass man bei dieser Kontextmenü-Variante von Runas zumindest unter Win2k das Kennwort manuell eingeben muss. Eine elegantere Lösung ist ein VBScript, das auf der Kommandozeilenversion von Runas aufsetzt, und die Passworteingabe mittels der Sendkeys-Methode übernimmt. Ein Beispielscript befindet sich in der Rubrik WSH-Tips. Da das Script Benutzername und Kennwort im Klartext enthält, empfiehlt es sich, dieses vor neugierigen Augen zu schützen, z. B. durch Abspeichern auf einem verschlüsselten Laufwerk. Das Codieren mit dem kostenlosen "MS Script Encoder" hilft lediglich gegen neugierige DAUs, da es mit dem "Windows Script Decoder" von "Mr Brownstone" ein ebenfalls kostenloses Tool zur Umkehrung der Verschlüsselung gibt. Die ultimative Lösung ist ein Kommandozeilentool, das das zu startende Programm, mögliche Parameter dazu, Domäne, Benutzername und Kennwort auf der Kommandozeile entgegennimmt, so dass noch nicht einmal kurz eine Eingabeaufforderung wie bei dem gerade erwähnten VBScript aufpoppt. Eigene Scriptdateien klonenIn einem Punkt bist du mit deiner Betriebsführung, die dich sonst durch Benutzerrichtlinien knebelt, mal einig: Beim Doppelklick auf .vbs-Scriptdateien sollte aus Sicherheitsgründen nur Notepad aufpoppen und nicht das Script gestartet werden. Wenn du häufiger eigene Scripte laufen lässt und nicht auf den bequemen Doppelklick verzichten willst, bastelst du dir einfach eigene Scriptdateien.Mit der folgenden reg-Datei definierst du zunächst den neuen Dateityp vb1: REGEDIT4 [HKEY_CLASSES_ROOT\.vb1] @="VB1File" Da dieser Typ auf dem Originaltyp vbs basieren soll, exportierst du aus der Registry den gesamten Schlüssel [HKEY_CLASSES_ROOT\VBS] und ersetzt in der reg-Datei alle Begriffe "VBSFile" durch "VB1File". Dann ersetzt du den ursprünglichen "Öffnen"-Befehl [HKEY_CLASSES_ROOT\VB1File\Shell\Open\Command] @="C:\\WINNT\\System32\\Notepad.exe '%1' %*" durch [HKEY_CLASSES_ROOT\VB1File\Shell\Open\Command] @="C:\\WINNT\\System32\\WScript.exe \"%1\" %*" Reg-Datei speichern und importieren. Nun kannst du VB1-Scriptdateien per Doppelklick starten. USB freischaltenDein Win2k-Rechner hat eine schöne USB-Schnittstelle, die dummerweise nicht funktioniert. Mit dem Testprogramm usbready.exe hast du herausgefunden, dass USB auf diesem Rechner voll funktionstüchtig ist. Warum funzt es dann nicht?Die Antwort lautet, dass der Treiber für den USB-Root-Hub deaktiviert ist. Du kannst in der Systemsteuerung unter Eigenschaften des USB-Root-Hub nachsehen, ob eine entsprechende Meldung angezeigt wird und anschließend gleich das Problem in der Registry lösen. Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub, bei USB 2.0 auch unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub20, befindet sich der Eintrag "Start". Besitzt dieser den Wert "4", so ist USB deaktiviert. Mit dem Wert "2" steht dem Einsatz deines USB-Sticks nichts mehr im Wege. Zugriff auf Energieverwaltung ermöglichenAuch der einfache Benutzer verspürt hin und wieder den Wunsch, die Einstellungen zur Energieverwaltung ändern zu können. Sind diese durch die Benutzerrichtlinien gesperrt, so mutiert der einfache Benutzer einmalig zum Administraitor, startet regedt32.exe und ändert unter[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg] die Berechtigung für die beiden Schlüssel GlobalPowerPolicy und PowerPolicies so ab, dass er sich als einfachem Benutzer Vollzugriffsrecht einräumt. Kennwortschutz für Bildschirmschoner umgehenAn deinem Win2K-Rechner im Firmennetzwerk ist durch Benutzerrichtlinien festgelegt, dass du den Kennwortschutz für den Bildschirmschoner nicht abstellen kannst. Immer nachdem der Schoner angesprungen ist, musst du dein Kennwort eingeben, wenn du weiterarbeiten willst. Du hast als Administraitor das Problem mit folgenden Registry-Einträgen zunächst gelöst, wobei die "xxxxx" für die Zahlen deiner Benutzer-SID stehen:[HKEY_CURRENT_USER\Control Panel\Desktop] "ScreenSaverIsSecure"="0" [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop] "ScreenSaverIsSecure"="0" [HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxx \Control Panel\Desktop] "ScreenSaverIsSecure"="0" [HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxx \Software\Policies\Microsoft \Windows\Control Panel\Desktop] "ScreenSaverIsSecure"="0" Diese Werte werden allerdings mehr oder weniger regelmäßig von den Benutzerrichtlinien überschrieben. Mit folgendem Workaround kannst du trotzdem dauerhaft zum Ziel kommen, da die beschriebene Einstellung von den Benutzerrichtlinien wahrscheinlich nicht erfasst wird: Wenn der Kennwortschutz des Bildschirmschoners unter Win2k/NT/XP aktiviert ist, so hat man standdardmäßig ca. 3 Sekunden Zeit, den Bildschirmschoner ohne Eingabe des Kennwortes wieder zu beenden. Erst wenn man länger wartet, muss das Kennwort eingegeben werden. Diese Latenzzeit kann in der Registry beeinflusst werden. Ändere unter [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon] folgenden Eintrag oder lege ihn als REG_SZ neu an: "ScreenSaverGracePeriod"="103000" Der Wert (in Sekunden) kann zwischen 0 und 2147483 liegen. Durch einen hohen Wert wird der Kennwortschutz nie aktiv. DFÜ-Verbindung ohne DFÜ-Netzwerk einrichtenDu möchtest privat mit dem firmeneigenen Win2K-Rechner per Modem ins Internet, doch ist das DFÜ-Netzwerk im Explorer und in der Systemsteuerung wegen der geltenden Einschränkungen ausgeblendet oder gesperrt. Wie kannst du trotzdem eine neue DFÜ-Verbindung einrichten?Lösung 1 Gehe an den Windoof 9x-Rechner eines Bekannten und kopiere eine beliebige DFÜ-Verbindung aus dem DFÜ-Netzwerk in einen anderen Ordner. Die dadurch erzeugte Datei mit der Endung ".DUN" kannst du auf deinen Firmenrechner kopieren und per Doppelklick starten. Du kannst Benutzername und Kennwort und unter "Eigenschaften" Einwahlnummer etc. nach deinen Bedürfnissen anpassen. Wenn du eine importierte .DUN-Datei erstmalig geöffnet hast, wird sie ins DFÜ-Netzwerk übernommen und du kannst die Verbindung zukünftig auch über den Internet Explorer oder RASPHONE.PBK aufrufen, siehe Lösung 2 und Lösung 3. Lösung 2 Sofern nicht auch durch Einschränkungen gesperrt, kannst du eine neue DFÜ-Verbindung auch im Internet Explorer unter "Extras - Internetoptionen - Verbindungen - Hinzufügen" einrichten. Einwählen kannst du dich zukünftig entweder automatisch, wenn du "Immer Standardverbindung wählen" aktivierst, oder manuell wie unter Lösung 3 beschrieben, wenn du "Keine Verbindung wählen" aktivierst. Lösung 3 Die Textdatei "RASPHONE.PBK" enthält unter Win2k/XP die Daten der DFÜ-Verbindungen bis auf Passwort und Benutzername. Doppelklicke auf diese Datei, die im Ordner "Dokumente und Einstellungen" in einem der Benutzerverzeichnisse "AllUsers\Anwendungsdaten\Microsoft\Network\Connections\Pbk" oder "[Benutzername]\Anwendungsdaten\Microsoft\Network \Connections\Pbk" zu finden ist. Falls die Datei noch nicht vorhanden ist, lege sie vor dem Öffnen als leere Datei neu an. Nun kannst du DFÜ-Verbindungen anlegen und einrichten. Wenn du die Einwahlhilfe des Internet Explorers nicht verwenden willst oder kannst, kannst du die RASPHONE.PBK auch zum Starten der DFÜ-Verbindungen verwenden. Wichtig: Bezüglich des verwendeten Netzwerkprotokolls ist zu beachten, dass es zu keinem Konflikt kommt. Entferne daher bei jeder DFÜ-Verbindung unter "Eigenschaften - Netzwerk - Aktivierte Komponenten werden von dieser Verbindung verwendet" alle Häkchen außer dem für "Internetprotokoll (TCP/IP)". Tust du das nicht, kann der LSASS-Dienst abstürzen und es kommt zu einem unfreiwilligen Shutdown. Eventuell kannst du diesen, wie im nachfolgenden Tip beschrieben, noch abbrechen. Wurmattacke abwehrenZu blöd, dass du dir bei deiner privaten Surftour im Internett auf dem Firmenrechner einen Wurm wie Blaster oder Sasser eingefangen hast: Bevor du einen aktuellen Virenscanner oder einen Patch zum Abschotten des Systems runterladen kannst, erscheint die berüchtigte Meldung, dass dein System in 60 Sekunden runtergefahren wird. Ursache dafür ist, dass der Wurm einen Absturz des LSASS-Dienst verursacht.Wenn der Countdown läuft, öffne die Eingabeaufforderung und gib den Befehl shutdown -a ein. Dies unterbricht das Herunterfahren und gibt dir Zeit, die nötigen Tools gegen den Wurm aus dem Netz zu ziehen und anzuwenden. |