Где в реестре находятся пароли
Где в реестре хранятся пароли
В данной статье речь идет не о дешифрации паролей, а о том, где они хранятся в реестре и файловой системе Windows. В настоящее время, пароли приложений и служб хранятся в зашифрованном виде, и для их восстановления используется специальное программное обеспечение, как например Password Recovery Tools от Nirsoft.
Знание местонахождения пароля не позволит перенести его на другой компьютер или в профиль другого пользователя, поскольку современное программное обеспечение разрабатывается, как правило, с учетом предотвращения такой возможности.
Однако, подобную информацию можно использовать в познавательных целях и для удаления нежелательно сохраненных паролей.
Сетевые пароли Windows
Пароли, запоминаемые при подключении к сетевому ресурсу, например \ServerShare , могут быть запомнены, если пользователь включит соответствующий режим запоминания пароля.
Пароль будет сохранен в зашифрованном виде в специальном файле, владельцем которого является данный текущий пользователь. Имя и путь файла отличаются для разных версий Windows.
Для Windows XP/2003 сетевые пароли хранятся в скрытом файле:
Профиль пользователяApplication DataMicrosoftCredentialsUser SIDCredentials
Профиль пользователя — папка Documents and SettingsИмя пользователя
User SID — идентификатор Security ID в виде S-1−5−21−299502267—1085031214—1801674531—1003
Также, сетевые пароли хранятся в файле
Профиль пользователя>Local SettingsApplication DataMicrosoftCredentialsUser SIDCredentials
Для Windows Vista и более поздних, пароли сохраняются в файле:
Профиль пользователяAppDataRoamingMicrosoftCredentialsRandom ID
Профиль пользователя — папка UsersИмя пользователяRandom ID — имя файла в виде случайного набора символов 16-ричной системы счисления, например — DDEB0D2FF2A975E572C07B00A6E3FA28
А также в файле:
профиль пользователяAppDataLocalMicrosoftCredentialsRandom ID
Утилита из Password Recovery Tools от Nirsoft — Network Password Recovery.
Пароли к Dialup/VPN подключениям
Пароли к Dialup/VPN подключениям также можно сохранить при включении пользователем соответствующего режима. Местом хранения в данном случае является системный реестр, ветвь HKEY_LOCAL_MACHINESecurityPolicySecrets. , доступ к которой имеет только локальная системная учетная запись, под которой обычно выполняются системные службы.
Соответственно, обычный пользователь или пользователь с правами администратора не смогут получить доступ к ветви реестра HKLMSecurity и его ключам и параметрам.
Поэтому, потребуется либо выполнение редактора реестра под локальной системной учетной записью, либо изменение разрешений для ветви реестра HKEY_LOCAL_MACHINESECURITY , например для полного доступа администратору системы. Изменение разрешений может выполнить администратор через контекстное меню, вызываемое правой кнопкой на ключе HKEY_LOCAL_MACHINESECURITY .
После изменения разрешения необходимо либо перезапустить редактор реестра, либо обновить его окно (нажать F5). После завершения работы с разделом HKLMSecurity. разрешения необходимо восстановить в исходном виде.
Для запуска редактора реестра regedit.exe под локальной системной учетной записью можно воспользоваться, например, утилитой PSexec из состава пакета PSTools. Для этого, в командной строке, выполняющейся под учетной записью с правами администратора, нужно выполнить команду:
psexec -s -i regedit.exe — выполнить regedit.exe под локальной системной учетной записью (параметр -s ) в интерактивном режиме (параметр -i )
Если в системе сохранялись пароли, то в разделе HKEY_LOCAL_MACHINESECURITYPolicySecrets будут присутствовать подразделы, имена которых начинаются строками RasDialParams и RasDefaultCredentials , например:
Пароли в Internet Explorer
Пароли к Internet Explorer версии 6.
0 и более ранних сохранялись в защищенном хранилище ( Protected Storage ) Windows, представляющем собой подразделы ключа реестра HKEY_CURRENT_USERSoftwareMicrosoftProtected Storage System Provider .
Начиная с версии IE7, пароли хранятся в виде учетных записей (имя пользователя, пароль, сайт) в реестре и файлах, размещаемых в профиле пользователя. Используется ключ реестра
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerIntelliFormsStorage2 и, как и для сетевых паролей, скрытый файл Credentials в подкаталоге профиля пользователя
…Application DataMicrosoftCredentials
Пароли в обозревателе Mozilla Firefox
Пароли хранятся в файлах, имена которых зависят от версии браузера (signons.txt, signons2.txt, signons3.txt для Firefox версий 1x-3x) и в группе файлов, размещаемых в профиле пользователя по пути Профиль пользователяApplication DataMozillaFirefoxProfilesПрофиль Firefox
Профиль Firefox — каталог с именем из случайного набора символов, определяется содержимым файла «Профиль пользователяApplication DataMozillaFirefoxprofiles.ini» Пример: [General] StartWithLastProfile=1 [Profile0] Name=default IsRelative=1
Path=Profiles/olv9c5bt.default
— имя каталога с профилем Firefox
В профиле Firefox хранятся все индивидуальные настройки пользователя, пароли, история, куки, закладки, дополнения и т.п. Также здесь присутствует файл key3.db, используемый для шифрования и расшифровки паролей.
Пароли в обозревателе Google Chrome
Пароли обозревателя Google Chrome запоминаются в файле Профиль пользователяLocal SettingsApplication DataGoogleChromeUser DataDefaultWeb Data
Файл «Web Data» является базой данных SQLite для хранения паролей к сайтам и некоторых других параметров обозревателя. Также, в профиле Google Chrome хранится вся история, куки, дополнения и настройки .
Пароли в обозревателе Opera
Пароли сохраняются в файле wand.dat который находится в каталоге Профиль пользователяApplication DataOperaOperaprofile
Пароли почтовых клиентов
Outlook Express и Outlook 98/2000 — пароли хранятся в защищенном хранилище Windows (Protected Storage), так же, как и у старых версий Internet Explorer.
Утилита из Password Recovery Tools от Nirsoft — Protected Storage Passview.
Windows Live Mail — все настройки, включая сохраненные пароли хранятся в каталогах: Профиль пользователяAppDataLocalMicrosoftWindows Live MailПочтовая учетная запись»
Пароли и прочие параметры почтовой учетной записи хранятся в XML-файле с именем, начинающемся строкой account и с расширением .oeaccount
Outlook 2002 более поздние — пароли для подключения к серверам POP3,IMAP,SMTP хранятся в ключе реестра HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesOutlook\[Account Index]Если используется учетная запись для подключения к серверу Exchange, то пароли сохраняются в файле Credentials , как и сетевые пароли Windows.
Источник: http://gadget-apple.ru/gde-v-reestre-hranjatsja-paroli.html
Сбросить пароль Windows через реестр
Компьютер76 » Трюки и фишки в Windows » Сбросить пароль Windows через реестр.
20.12.2018
Всем привет, сегодня продолжаем разбираться с возникающими в Windows проблемами, и сейчас рассмотрим вопрос как сбросить пароль Windows через реестр. Предупреждаю, что способ по сравнению с другими вариантами сброса пароля немного трудоёмок. Но пишу, чтобы знали и умели.
Особенность способа заключается в том, чтобы пользователь смог с загрузочного диска Windows смог подменить некоторые ключи. Некоторым способ покажется громоздким, однако при должной сноровке вы научитесь ловко выручать своих знакомых таким фокусом.
Сбросить пароль Windows через реестр я попытаюсь на примере Windows 7, но не вижу препятствий попробовать так и на более поздних версиях.
Что понадобится?
- работоспособная Windows (мы сбрасываем пароль, а не чиним её)
- загрузочный диск/флешка с подходящей версией (я рекомендую заполучить сразу внешний бокс с диском с набором необходимых образов – Windows и ремонтных образов)
Сбросить пароль Windows через реестр: быстро и надёжно
Итак, сосед забыл пароль к Windows, которую не запускал после длительной командировки. Первое, с чего мы начинаем, это выставляем загрузку с нужного устройства: диск или флешка. Далее следуем следующим инструкциям (извиняюсь за качество некоторых фото – работал “с коленки”):
- начинаем установку Windows, но в окне Установить выбираем Восстановление системы:
- Сейчас средство восстановления будет искать установленные копии. Обнаружим имеющуюся Windows и укажем на неё:
- В окне параметров обнаруживаем командную консоль cmd:
- оттуда вызываем редактор реестра, набрав
regedit.exe
- в открытом редакторе реестра вашей Windows выберите ветку HKEY_LOCAL_MACHINE и в меню Файл (File) выберите Загрузить куст (Load Hive):
- в выбранном окне укажите на жёсткий диск с Windows, пароль к которой вы хотите сбросить. И уже на этом диске нужно добраться до файла в папке config:
Локальный диск (XXX:):\Windows\System32\config\SYSTEM
- когда выберите Открыть, редактор попросит указать имя нового куста реестра. Назовите произвольно (я свой назвал abc):
- в левой части окна редактора реестра вернитесь к разделу HKEY_LOCAL_MACHINE и разверните его, нажав на “+“. Сразу увидите только что созданный abc раздел. Разверните и его. А теперь жмём на раздел Setup:
- справа нам нужен параметр REG_DWORD с именем SetupType. Изменим его, нажав Изменить…:
- выводим его значение в 2:
- в том же разделе Setup поднимемся на несколько строчек выше до параметра CmdLine и провернём ту же операцию. Но значение, которое мы ему присвоим, будет называться cmd.exe:
- Изменения готовы. Но редактор реестра покиньте, не используя крестик закрытия окна. Вместо этого отправляйтесь в меню Файл ->Выход.
- Вы снова окажетесь перед открытом окном консоли cmd. Не закрывайте её и снова наберите туже команду на открытие редактора реестра:
regedit.exe
- в открытом окне реестра находим раздел HKEY_LOCAL_MACHINE и выбираем наш куст abc. Выбрав его, в меню Файл нажимаем на Выгрузитькуст:
- согласимся с изменениями:
- покидаем редактор реестра из меню и закрываем консоль:
- Выходим из менеджера по восстановлению системы, нажав на кнопку Перезагрузка. Удаляем все загрузочные диски и флешки, чтобы Windows загружалась обычным порядком.
Пришло время ввести новый пароль…
Однако сейчас вы увидите окно предустановки учётной записи системы с окном консоли cmd от имени супер-пользователя. Как вы уже, наверное, поняли, именно этим в реестре мы и занимались. В окне консоли набираем команду по типу:
net user
Так, я переприсвоил учётной записи 1 новый пароль – 123. Если ваша учётная запись содержит несколько слов (т.е. включает пробелы), тогда заключите имя пользователя в кавычки ( “имя-пользователя”). Если вы не помните точно название нужно учётной записи, вы можете сделать в консоли запрос в виде команды
net user
без операндов. Так консоль выведет на экран список всех учёток к компьютеру, каждую из которых вы можете взломать без труда. А тем временем я дождался выполнения команды:
После перезагрузки вводим новый пароль. Вот и всё. Успехов.
Источник: https://computer76.ru/2018/12/20/sbrosit-parol-windows-cherez-reestr/
Где на компьютере хранятся пароли и как их просмотреть в случае необходимости?
То, что пользователи достаточно часто забывают пароли от всевозможных программ, интернет-сайтов или даже те комбинации, которые используются для входа в систему, знают все. Поэтому и возникает проблема их быстрого восстановления. Но где хранятся все вводимые на компьютере пароли? Как их найти и посмотреть в случае необходимости? Увы, все далеко не так просто.
В самом простом случае можно узнать пароли для интернет-ресурсов, а вот с локальными или сетевыми паролями возникает множество проблем, тем более что средствами Windows просмотреть их не представляется возможным, а использование специализированного программного обеспечения освоить могут далеко не все рядовые пользователи.
Но для понимания общей картины некоторую ясность внесет представленный ниже материал.
Где на компьютере хранятся пароли: общая информация
Для начала следует отметить тот факт, что какого-то единого и универсального места сохранения парольных комбинаций нет. Основная проблема состоит в том, что операционная система использует собственные хранилища в виде недоступных пользователю и защищенных от просмотра зашифрованных файлов.
Некоторые программы могут сохранять пользовательские данные в собственных файлах настроек. А вот если разбираться в том, где на компьютере хранятся пароли браузеров, тут знание местонахождения не нужно, поскольку просмотреть все сохраненные комбинации можно прямо в них самих. Но об этом чуть позже.
В каком виде и где хранятся сохраненные на компьютере пароли, относящиеся ко входу в систему и сетевым настройкам?
Но давайте отталкиваться от того, что нам для начала нужно узнать именно локацию, в которой сохраняется файл с паролями пользователей, а не просмотреть исходную комбинацию.
Локальные пользовательские комбинации, относящиеся ко входу в систему или для возможности использования сетевых подключений, сохраняются непосредственно в каталоге каждого пользователя, условно обозначаемого как User SID.
В версии ХР в качестве локации используется папка Credentials, а в «Висте» и выше таким местом выбран подкаталог Random ID.
В ветке реестра HKU локациям файлов паролей соответствуют ключи в виде длинных комбинаций, начинающиеся со значений «S-1-5-21».
Но это в большинстве случаев только указание на сами файлы, поскольку просмотреть сохраненные комбинации невозможно ни в самих файлах, ни даже в реестре, хотя изменить исходные хранящиеся на компьютере пароли можно совершенно элементарно через соответствующие настройки управления сетевыми подключениями или учетными записями пользователей, которые доступны в графическом интерфейсе.
Для администраторских паролей входа в систему можно обратить внимание на раздел реестра SAM.
Для VPN- и Dial-Up-подключений в ветке реестра HKLM имеются разделы Secrets и SECURITY с ключами вроде RasDialParams, но и они ровным счетом никакой особой информации обычному юзеру не дают.
Другое дело, что просмотреть и изменить пароль сетевого доступа можно либо в настройках Windows, либо прямо на маршрутизаторе.
Кстати сказать, по схожему принципу сохраняются и парольные комбинации для большинства встроенных в систему почтовых клиентов или утилит от сторонних разработчиков, если они представлены именно в виде отдельных приложений, что не относится к интернет-сервисам вроде почты Mail.Ru или чего-то подобного.Достаточно часто приходится выяснять, где на компьютере хранятся пароли от установленных программ. В частности, это касается популярного приложения Skype, с которым в последнее время у многих пользователей наблюдаются проблемы входа в собственные аккаунты.
Установленное приложение хранит пользовательскую комбинаций в специальном XML-файле, где паролю соответствует значение хэша (). Да, но здесь пароль представлен в 16-ричном виде и просто так просмотреть его не получится. Поэтому для таких целей необходимо использовать HEX-редактор. Но и применение таких утилит без соответствующих знаний результата может не дать.
Просмотр паролей в браузерах
Теперь посмотрим, где на компьютере хранятся пароли, сохраняемые непосредственно в веб-обозревателях, которые используются для работы в интернете. Собственно, как уже было сказано выше, само местоположение файлов нас не интересует.
А вот просмотреть пароли можно прямо в браузере, если в разделе основных настроек перейти к пункту управления сохраненными паролями, где в списке будут представлены все ресурсы, для которых такие комбинации были сохранены. Далее нужно всего нажать на кнопку или ссылку показа пароля, после чего забытую комбинацию можно перенести в текстовый файл или просто записать.
Специализированные программы для «вытаскивания» всех вводимых паролей
Но можно предположить, что пользователю мало знать, где на компьютере хранятся пароли, а нужно еще их как-то «вытащить» из системы для просмотра.
Для выполнения таких операций в самих Windows-системах средств нет, зато без проблем можно воспользоваться всевозможным и сторонними программами наподобие Password Recovery Tool, PSexec, входящей в состав пакета PSTools, PasswordSpy или аналогичными.
В них необходимо всего лишь активировать сканирование системных компонентов на предмет обнаружения сохраненных паролей, а затем задать их извлечение и преобразование в читабельный вид.
Послесловие
Как видим, все, что касается места и формы сохранения парольных комбинаций, даже многим опытным пользователям может показаться достаточно сложным.
Но вот в случае их изменения или просмотра особых трудностей возникнуть не должно, поскольку для этого сгодятся и некоторые стандартные средства системы, и сторонние приложения, которые очень просты в использовании.
Впрочем, знать именно место хранения в виде конкретного каталога или зашифрованного файла в этом случае совершенно необязательно.
Источник: https://FB.ru/article/431750/gde-na-kompyutere-hranyatsya-paroli-i-kak-ih-prosmotret-v-sluchae-neobhodimosti
Хранение и шифрование паролей Microsoft Windows
Про взлом паролей windows было написано немало статей, но все они сводились к использованию какого-либо софта, либо поверхностно описывали способы шифрования LM и NT, и совсем поверхностно описывали syskey.
Я попытаюсь исправить этот неодостаток, описав все подробности о том где находятся пароли, в каком виде, и как их преобразует утилита syskey.
Существует 2 возможности получения пароля — через реестр, или получив прямой доступ к файлам-кустам реестра.
В любом случае нужны будут либо привелегии пользователя SYSTEM, либо хищение заветных файлов, например, загрузившись из другой ОС.
Здесь я не буду описывать возможности получения доступа, но в целях исследования нагляднее будет выбрать первый вариант, это позволит не заострять внимание на структуре куста реестра. А запуститься от системы нам поможет утилита psExec от sysinternals. Конечно, для этих целей можно использовать уязвимости windows, но статья не об этом.
V-блок
Windows до версии Vista по умолчанию хранила пароль в двух разных хэшах — LM и NT. В висте и выше LM-хэш не хранится. Для начала посмотрим где искать эти хэши, а потом разберемся что из себя они представляют.
Пароли пользователей, а так же много другой полезной информации хранится в реестре по адресу HKLM\SAM\SAM\Domains\Account\users\[RID]\V
, известном как V-блок. Раздел SAM находится в соответствующем файле c:\Windows\System32\config\SAM. RID — уникальный идентификатор пользователя, его можно узнать, например заглянув в ветку HKLM\SAM\SAM\Domains\Account\usersames\ (параметр Default, поле — тип параметра). Например, RID учетной записи «Администратор» всегда 500 (0x1F4), а пользователя «Гость» — 501 (0x1f5). Доступ к разделу SAM по умолчанию возможен только пользователю SYSTEM, но если очень хочется посмотреть — запускаем regedit c правами системы:
PsExec.exe -s -i -d regedit.
Чтобы наблюдать V-блок в удобном виде можно, например, экспортировать его в текстовый файл (File-Export в Regedit). Вот что мы там увидим: От 0x0 до 0xCC располагаются адреса всех данных, которые находятся в V-блоке, их размеры и некоторая дополнительная информация о данных. Чтобы получить реальный адрес надо к тому адресу, что найдем прибавить 0xCC. Адреса и размеры хранятся по принципу BIG ENDIAN, т.е понадобится инвертировать байты. На каждый параметр отводится по 4 байта, но фактически все параметры умещаются в одном-двух байтах. Вот где искать: Адрес имени пользователя — 0xС Длина имени пользователя — 0x10 Адрес LM-хэша — 0x9с Длина LM-хэша — 0xa0 Адрес NT-хэша — 0xa8 длина NT-хэша — 0xac В данном случае имя пользователя найдется по смещению 0xd4 + 0xcc и его длина будет 0xc байт. NT-хэш будет располагаться по смещению 0x12c + 0xcc и его размер (всегда один и тот же) = 0x14. Еще одна деталь, касающаяся хранения паролей — как к NT- так и к LM-хэшу всегда добавляются спереди 4 байта, назначение которых для меня загадка. Причем 4байта будут присутствовать даже если пароль отключен. В данном случае видно, что длина LM хэша =4 и если посмотреть на его адрес, можно эти 4 байта увидеть несмотря на то что никакого LM-хэша нет. Поэтому при поиске смещений хэшей смело прибавляем 4 байта к адресу, а при учете размеров — вычитаем. Если удобнее читать код — вот примерно так будет выглядеть поиск адресов с учетом инверсии, лишних четырех байтов и прибавления стартового смещения 0xcc (код C#)
int lmhashOffset = userVblock[0x9c] + userVblock[0x9d] * 0x100 + 4 + 0xcc; int nthashOffset = userVblock[0xa8] + userVblock[0xa9] * 0x100 + 4 + 0xcc; int lmhashSize = userVblock[0xa0] + userVblock[0xa1] * 0x100 — 4; int nthashSize = userVblock[0xac] + userVblock[0xad] * 0x100 — 4; int usernameOffset = userVblock[0xc] + userVblock[0xd] * 0x100 + 0xcc;
int usernameLen = userVblock[0x10] + userVblock[0x1a] * 0x100;
userVblock — значение HKLM\SAM\SAM\Domains\Account\users\\V в виде массива байт.
Еще про V-блок можно почитать тут.
Алгоритмы
Теперь разберемся в алгоритмах шифрования.
Формирование NT-хэша:
1. Пароль пользователя преобразуется в Unicode-строку. 2. Генерируется MD4-хэш на основе данной строки. 3. Полученный хэш шифруется алгоритмом DES, ключ составляется на основе RID пользователя.
Формирование LM-хэша:
1. Пароль пользователя преобразуется в верхний регистр и дополняется нулями до длины 14 байт. 2. Полученная строка делится на две половинки по 7 байт и каждая из них по отдельности шифруется алгоритмом DES. В итоге получаем хэш длиной 16 байт (состоящий из двух независимых половинок длиной по 8 байт). 3. Полученный хэш шифруется алгоритмом DES, ключ составляется на основе RID пользователя.
4. В windows 2000 и выше оба полученых хэша дополнительно шифруются алоритмом RC4 с помощью ключа, известного как «системный ключ» или bootkey, сгенерированого утилитой syskey, и шифруются довольно хитрым образом.
Рассмотрим общую последовательность действий для получения исходного пароля и каждый шаг в отдельности 1. Получаем bootkey, генерируем на его основе ключи для RC4, расшифровываем хэши с помощью RC4 2. Получаем ключи для DES из RID'ов пользователей, расшифровываем хэши DES'ом 3. Полученые хэши атакуем перебором.
Bootkey
Системный ключ (bootkey) разбит на 4 части и лежит в следующих разделах реестра:
HKLM\System\CurrentControlSet\Control\Lsa\JD HKLM\System\CurrentControlSet\Control\Lsa\Skew1 HKLM\System\CurrentControlSet\Control\Lsa\GBG
HKLM\System\CurrentControlSet\Control\Lsa\Data
Раздел system находится в файле c:\Windows\System32\config\system Следует отметить, что раздел CurrentControlSet является ссылкой на один из разделов controlset и создается в момент загрузки системы. Это значит что не получится его найти в файле system, если система неактивна. Если вы решили искать ключ в файле — необходимо узнать значение ContolSet по умолчанию в HKLM\SYSTEM\Select\default.
например если HKLM\SYSTEM\Select\default = 1 — вместо HKLM\System\CurrentControlSet\ ищем в HKLM\System\controlset001\
У каждого ключа реестра есть некий скрытый атрибут, известный как «class». Regedit его так просто не покажет, однако его можно увидеть, например, если экспортировать эти ключи реестра в текстовые файлы. В winapi для получения этого атрибута есть функция RegQueryInfoKey.
Фрагменты хранятся в строковом представлении шестнадцатеричных чисел, причем по принципу BIG ENDIAN (т.е не строка задом наперед, а число). Например мы обнаружили вот такие записи:
Key Name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD Class Name: 46003cdb = {0xdb,0x3c,0x00,0x46} Key Name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1 Class Name: e0387d24 = {0x24,0x7d,0x38,0xe0} Key Name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG Class Name: 4d183449 = {0x49,0x34,0x18,0x4d} Key Name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data
Class Name: 0419ed03 = {0x03,0xed,0x19,0x04}
Собраный из четырех частей ключ будет массивом байт:
scrambled_key = {0xdb,0x3c,0x00,0x46,0x24,0x7d,0x38,0xe0,0x49,0x34,0x18,0x4d,0x03,0xed,0x19,0x04};
Далее элементы этого массива переставляются на основе некоторого константного массива p
int[] p = { 0xb, 0x6, 0x7, 0x1, 0x8, 0xa, 0xe, 0x0, 0x3, 0x5, 0x2, 0xf, 0xd, 0x9, 0xc, 0x4 };
Элементы в этом массиве определяют позиции для перестановок, т.е.
key[i] = scrambled_key[p[i]];
В нашем примере получится массив:
key[] = {0x4d,0x38,0xe0,0x3c,0x49,0x18,0x19,0xdb,0x46,0x7d,0x00,0x04,0xed,0x34,0x03,0x24 };
этот массив и есть так называемый bootkey. Только в шифровании паролей будет учавствовать не он а некий хэш на основе bootkey, фрагментов f-блока и некоторых констант. Назовем его Hashed bootkey.
Hashed bootkey
для получения Hashed bootkey нам понадобятся 2 строковые константы (ASCII):
string aqwerty = «!@#$%&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%\0»;
string anum = «0123456789012345678901234567890123456789\0»;
Также понадобится F-блок пользователя (HKLM\SAM\SAM\Domains\Account\users\\F), а именно его 16 байт: F[0x70:0x80] На основе этих значений, склееных в один большой массив формируем MD5 хэш, который будет являться ключем для шифрования RC4
rc4_key = MD5(F[0x70:0x80] + aqwerty + bootkey + anum).
Последним шагом для получения hashed bootkey будет rc4 шифрование( или дешифрование — в rc4 это одна и та же функция) полученым ключем фрагмента F-блока F[0x80:0xA0];
hashedBootkey = RC4(rc4_key,F[0x80:0xA0])
Hashed bootkey у нас в руках, осталось научиться с ним правильно обращаться.
Дешифруем пароли с помощью Hashed Bootkey
для паролей LM и NT нам понадобятся еще 2 строковые константы —
string almpassword = «LMPASSWORD»;
string antpassword = «NTPASSWORD»;
а так же RID пользователя в виде 4х байт (дополненый нулями) и первая половина Hashed Bootkey (hashedBootkey[0x0:0x10]);
Все это склеивается в один массив байт и считается MD5 по правилам:
rc4_key_lm = MD5(hbootkey[0x0:0x10] +RID + almpassword);
rc4_key_nt = MD5(hbootkey[0x0:0x10] +RID + antpassword);
полученый md5 хэш — ключ для rc4, которым зашифрованы LM и NT хэши в V-блоке пользователя
userLMpass = RC4(rc4_key_lm,userSyskeyLMpass); userNTpass = RC4(rc4_key_lm,userSyskeyNTpass);
На этом этапе мы получили пароли пользователя в том виде в каком они хранились бы без шифрования syskey, можно сказать, что самое сложное позади. Переходим к следующему шагу
DES
На основе четырех байт RID'а пользователя с помощью некоторых перестановок и побитовых операций создаем 2 ключа DES.
Вот функции, которые осуществляют обфускацию (С#):
private byte[] str_to_key(byte[] str) { byte[] key = new byte[8]; key[0] = (byte)(str[0] >> 1); key[1] = (byte)(((str[0] & 0x01) > 2)); key[2] = (byte)(((str[1] & 0x03) > 3)); key[3] = (byte)(((str[2] & 0x07) > 4)); key[4] = (byte)(((str[3] & 0x0F) > 5)); key[5] = (byte)(((str[4] & 0x1F) > 6)); key[6] = (byte)(((str[5] & 0x3F) > 7)); key[7] = (byte)(str[6] & 0x7F); for (int i = 0; i < 8; i++) { key[i] = (byte)(key[i]
Источник: https://habr.com/post/114150/
Где в реестре находятся пароли
Вам нужен файл «system», который находится на системном диске в папке «Windows/system32/config/». В моем случае, это находится на диске D:
Изменение пароля от аккаунта в windows 7
Изменение пароля от аккаунта в windows
Изменение пароля от аккаунта в windows 7 Выделите файл и нажмите «Открыть».
Вам предложат выбрать название для новой ветки. Название значение не имеет, задайте любое слово, например W7Q, как в примере:
Изменение пароля от аккаунта в windows 7 Теперь откройте ветку «HKey_Local_Machine» и найдите там вновь созданный пункт с вашем названием. Откройте его и выделите раздел «setup»:
Изменение пароля от аккаунта в windows 7 Справа вы увидите список значений.
Выделите «SetupType»:
Изменение
Как посмотреть сохраненные пароли в браузере
Нажмите по ней.Отобразится список сохраненных логинов и паролей. Выбрав любой из них, нажмите «Показать» чтобы просмотреть сохраненный пароль.
В целях безопасности вас попросят ввести пароль текущего пользователя Windows 10, 8 или Windows 7 и только после этого отобразится пароль (но можно просмотреть его и без этого, с помощью сторонних программ, что будет описано в конце этого материала).
Также в 2020 году версии Chrome 66 появилась кнопка для экспорта всех сохраненных паролей, если это требуется. Посмотреть сохраненные пароли в Яндекс браузере можно почти точно так же, как в Хроме:
- Нажмите «Управление паролями» напротив пункта «Предлагать сохранять пароли для сайтов» (который позволяет включить сохранение паролей).
- В следующем окне выберите любой сохраненный пароли и нажмите «Показать».
- Пролистайте до раздела «Пароли и формы».
- Внизу страницы нажмите «Показать дополнительные настройки».
- Зайдите в настройки (три чёрточки справа в строке заголовка — пункт «Настройки».
Также, как и в предыдущем случае, для просмотра пароля потребуется ввести пароль текущего пользователя (и точно так же, есть возможность посмотреть его и без этого, что будет продемонстрировано).
Хранение и шифрование паролей Microsoft Windows
Раздел SAM находится в соответствующем файле c:\Windows\System32\config\SAM.
RID — уникальный идентификатор пользователя, его можно узнать, например заглянув в ветку HKLM\SAM\SAM\Domains\Account\usersames\ (параметр Default, поле — тип параметра). Например, RID учетной записи «Администратор» всегда 500 (0x1F4), а пользователя «Гость» — 501 (0x1f5).
Доступ к разделу SAM по умолчанию возможен только пользователю SYSTEM, но если очень хочется посмотреть — запускаем regedit c правами системы: PsExec.exe -s -i -d regedit. Чтобы наблюдать V-блок в удобном виде можно, например, экспортировать его в текстовый файл (File-Export в Regedit).
Вот что мы там увидим:
От 0x0 до 0xCC располагаются адреса всех данных, которые находятся в V-блоке, их размеры и некоторая дополнительная информация о данных.
Эффективное получение хеша паролей в Windows.
Часть 1
Есть две широко известные утилиты для дампа хешированных паролей из SAM: и :
- — получает syskey bootkey из куста системы
- – получает хеши паролей в Windows 2k/NT/XP/Vista
Вышеназванные утилиты, как правило, поставляются со многими дистрибутивами GNU/Linux.
Использование: # bkhive bkhive 1.1.1 by Objectif Securite http://www.objectif-securite.ch original bkhive systemhive keyfile # samdump2 samdump2 1.1.1 by Objectif Securite http://www.objectif-securite.
ch original samdump2 samhive keyfile Пример получения хешей SAM из Windows-раздела /dev/sda1: # mkdir -p /mnt/sda1 # mount /dev/sda1 /mnt/sda1 # bkhive /mnt/sda1/Windows/System32/config/SYSTEM /tmp/saved syskey.
txt # samdump2 /mnt/sda1/Windows/System32/config/SAM
Где хранятся пароли в реестре и файловой системе Windows
Пароли к Dialup/VPN подключениям также можно сохранить при включении пользователем соответствующего режима.
Поэтому, потребуется либо выполнение редактора реестра под локальной системной учетной записью, либо изменение разрешений для ветви реестра HKEY_LOCAL_MACHINE\SECURITY\, например для полного доступа администратору системы.
Изменение разрешений может выполнить администратор через контекстное меню, вызываемое правой кнопкой на ключе HKEY_LOCAL_MACHINE\SECURITY\. После изменения разрешения необходимо либо перезапустить редактор реестра, либо обновить его окно (нажать F5).
Где хранят свои пароли различные браузеры?
Пароли шифруются с помощью Triple-DES и закодированы BASE64. Файл в котором хранятся пароли находится тоже в профиле пользователя, имя выбирается случайным образом — «random_name.default» для Windows XP C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\»rendom_name».
default для Windows 7 ; Windows Vista C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\»rendom_name».default Извлечь пароли для всех этих браузеров, помогут следующие программы: FirePasswordViewer, ChromePasswordDecryptor, FirePasswordViewer, OperaPasswordDecryptor, IEPasswordDecryptor все они легко находятся через поисковые системы.
В любом архиве, с этими программами могут присутствовать и «зловреды» * Все пути в данном материале показаны для пользователя «Admin»
Совет 1: Как найти в реестре пароль
4 Откройте следующую ветку реестра для выполнения операции редактирования данных выбранного пользователя:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonРазверните сервисное окно параметра DefaultUserNamу двойным кликом мыши.
Для этого вызовите меню «Правка», находящееся в верхней панели инструментов «Редактора реестра» и используйте команду «Создать». 8 Выберите опцию dword и внесите в строку «Имя параметра» значение DefaultPassword 9 Нажмите функциональную клавишу Enter, подтвердив выполнение команды создания и раскройте вновь созданный ключ двойным кликом мыши.
Источник: http://econsalting.ru/gde-v-reestre-nahodjatsja-paroli-62471/
Где пароли в реестре
Здравствуйте, в этой статье мы постараемся ответить на вопрос «Где пароли в реестре». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Ограничения сетевых подключений. Свойства RAS подключений. Запретить изменять свойства удаленного доступа.
В аду есть специальный котёл для разработчиков микрософта, которые придумывают трёхэтажные названия ключей к утилитам командной строки и делают их без сокращений.
Где хранятся пароли в хроме windows 7
Что бы увидеть пароль, нажмите на него, после чего появится кнопка «Показать». Кликните на нее и увидите символы пароля.
О самой программе и её достоинствах мы сейчас говорить не будем (кому интересно, без труда найдёт необходимую информацию в интернете). Нас же сейчас интересует возможность решить проблему с поиском пароля в «ВК».
Работает с разными типами хешей и использует три различных техники взлома: перебор, атаку по словарю (вычисление хэшей для каждого слова из словаря и сравнение его с хешем пароля) и гибридную атаку по словарю (при вычислении хешей к словам из словаря добавляются другие символы).
Используем Mimikatz для извлечения паролей пользователей из lsass.exe онлайн
Немного сложнее получить доступ к операционной системе, когда требуется ввести пароль для входа в нее. Нажмите кнопку Reset для перезагрузки компьютера. Когда на экране появится окно, содержащее список возможных вариантов загрузки, нажмите клавишу F8.
Сколько времени займет этот процесс – зависит от сложности пароля. Относительно простые – в виде комбинации цифр или известных слов, подбираются быстро. Сложные – цифробуквенные сочетания, иногда таким методом узнать не удается. Вернее, на это может уйти прилично времени.
Ceтeвaя бeзoпacнocть: уpoвeнь пpoвepки пoдлиннocти LAN Manager. Изменить тип аутентификации. К настоящему времени поддерживается только Windows NT4 SP3 и выше. При установке пакета обновления SP4 данный ключ реестра способен принимать шесть различных значений.
Так же можно попробовать захватить без установки драйвера, просто с помощью «сырой» сокет «метод захвата, но вы должны знать, что этот метод не работает должным образом во многих системах.Идем дальше. С помощью простых манипуляций злоумышленник может легко извлечь пароли пользователей из файлов дампов памяти, файла гибернации системы (hiberfil.sys) и. vmem файлов виртуальных машин (файлы подкачки виртуальных машин и их снапшоты).
Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз.
Редакция не несет никакой ответственности за любые возможные последствия.
Kлиeнт ceти Microsoft: пocылaть нeзaшифpoвaнный пapoль cтopoнним SMB-cepвepaм. Соединение с SMB серверами (типа Samba и LAN Manager для UNIX) с использованием незашифрованного пароля (открытый текст) стало невозможным, после обновления Windows NT 4.
0 Сервисным пакетом 3.
Это был простой способ сброса пароля Windows 7. Сложностей с ним быть не должно. Надо всего лишь быть внимательным и аккуратным. Проблемы могут возникнуть только при отсутствии необходимых драйверов для работы с жёстким диском.
Перед началом взлома пароля с помощью SAMinside, в нее необходимо импортировать хранилище учетных записей локальной машины через меню “Файл”. Программа может работать с разными типами файлов, в которых хранятся хешированные пароли. Методов взлома также несколько: по словарю, перебором, по маске и по Rainbow-таблицам.
После изменения разрешения необходимо либо перезапустить редактор реестра, либо обновить его окно (нажать F5).
Ограничения сетевых подключений. Свойства частных RAS подключений. Запретить просмотр свойств удаленного доступа.
Начиная с версии IE7, пароли хранятся в виде учетных записей (имя пользователя, пароль, сайт) в реестре и файлах, размещаемых в профиле пользователя.Определяет, могут ли администраторы включать и настраивать общий доступ к подключению Интернета (ICS), и может ли служба ICS выполняться на этом компьютере.
В некоторых случая не удается зайти в сетевую папку, напечатать на сетевой принтер или открыть сетевой ресурс, т.к. неверные учетные данные.
Если же вы относите себя к продвинутым пользователям, а тем более, имели опыт работы с таким ПО, то сможете с лёгкостью решить проблему забытого пароля.
Программа является многофункциональным сетевым сниффером, портированным на OS Android. Intercepter-NG довольно успешно справляется с задачей перехвата и анализа сетевого трафика, позволяя восстанавливать файлы, которые передаются по сети, сообщения различных мессенджеров и, что важно для нас в контексте рассматриваемой проблемы, восстанавливать пароли.
В том случае, если не удается получить пароль пользователя, а только его хеш, Mimikatz можно использовать для так называемой атаки pass-the-hash (повторное использованиу хэша). В этом случае хэш может использовать для запуска процессов от имени пользователя.
Работает только с LiveCD. При сбрасывании пароля создает резервную копию файла SAM, что дает возможность вернуть удаленный пароль, причём SAM_bak1 создаётся только один раз, а SAM_bak2 — при каждом запуске утилиты, таким образом будет и первая, и самые свежие резервные копии, если пароли сбрасываются или устанавливаются пользователями в произвольном порядке.
По умолчанию сохраняются следующие профили пользователя:- локальный; — перемещаемый; — обязательный; — временный.
Что делать, если забыл пароль от Windows?
Откройте следующую ветку реестра для выполнения операции редактирования данных выбранного пользователя:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonРазверните сервисное окно параметра DefaultUserNamу двойным кликом мыши.
Операционными системами семейства микрософт не рекомендуется пользоваться как минимум до выхода следующей версии.
На следующем этапе надо выбрать номер раздела, на котором установлена Windows. Ориентироваться придётся в первую очередь по его размеру. В принципе, до самого последнего момента программа не вносит никаких изменений в Windows, поэтому в случае ошибки можно просто начать процедуру сброса пароля заново.FirePasswordViewer, ChromePasswordDecryptor, FirePasswordViewer, OperaPasswordDecryptor, IEPasswordDecryptor все они легко находятся через поисковые системы. Но не забывайте, что бесплатный сыр бывает только в мышеловке.
Как узнать пароль администратора в Windows 7?
Internet Mail, Phoenix Mail и Mozilla Thunderbird, Opera Mail, Report IMail Server и Outlook Личных Папок (PST) файл паролей.
Решение проблемы – это удалить неверные учетные данные и ввести новые, но где это сделать? Для этого нужно запустить менеджер сохраненных учетных данных через командную строку cmd.exe.
А вот такой вопрос… вводишь control userpasswords2, дополнительно — управление паролями — а закладка «учетные данные windows» неактивна, пишет «учетные данные отключены системным администратором», и добавить/поменять пароли нельзя.
Заходить пробовал под администратором. Подскажите, где включить обратно?
Источник: https://maslo-neft.ru/pravootnosheniya/2844-gde-paroli-v-reestre.html