Данная статья будет полезна как новичкам, так и специалистам, так как написана, на мой взгляд, довольно простым языком и отражает все проблемные моменты, с которыми я столкнулся при исследовании проблемы, а так же показывает основные “тонкие места” в продукции компании Майкрософт. Возможно, что для некоторых эта статья новостью не будет, но для большинства, я надеюсь, она принесет пользу.

Речь в ней пройдет о методах получения пароля администратора в сетях, основанных на NT системах, таких, как Windows NT/2000/XP. Реально большинство компьютерных клубов, классов и вообще сетей работает на подобном софте, что понятно и вполне очевидно – остальные системы либо слишком ненадежны и плохо себя чувствуют в сетях (Windows 95/98/Me), либо слишком сложны и привередливы к настройке (*nix).

Итак, вы сидите перед компьютером в своем классе/клубе/работе. Скорее всего, вам на нем ничего делать нельзя, кроме того, что вам разрешил системный администратор: нельзя ставить софт, править реестр, получать доступ к сети и прочее, что делать бы хотелось ?. Прежде всего, вам нужно понять, какими правами наградил вас администратор:

Пуск => Настройка => Панель управления => Учетные записи пользователей. Если система, ругнувшись, спросила пароль – значит вам есть за что бороться, если нет и вы можете создавать/удалять/изменять пользователей на компьютере, то сохраняйте эту статью до более худших времен, когда более радивый администратор наградит вас меньшими привилегиями. Если же вы сидите под учетной записью Пользователь или Гость – читайте дальше. Вам необходим файл SAM (без расширения), находящийся здесь C:\WINDOWS\system32\config\ и хранящий в себе пароли от системы. Просто так считать этот файл вам не удастся – он заблокирован системным процессом lsass.exe, убить который невозможно. Чтобы получить его, необходимо выйти под DOS, загрузившись с дискеты от Windows 98 и скопировать его командой copy. Возможно, если система стоит на NTFS вам понадобится комплект утилит для работы с NTFS-разделами под DOS. Так же у вас есть возможность скопировать себе другой SAM файл, находящийся в папке C:\WINDOWS\repair\, но так как вы рискуете получить пароли столетней давности, так как здесь всего лишь backup файла паролей.
Теперь вам необходимо расшифровать его одной из программ дешифраторов. Я рекомендую LophtCrack, за его огромную скорость, большое количество возможностей, русский интерфейс и полностью интуитивно понятную настройку. Процесс дешифрации очень долог и зависит, в основном, от количества символов, которые вы задали в качестве возможных в пароле.

К примеру, перебор всех латинских букв и цифр в пароле, ограниченном семью символами займет у вас около шести часов на машине с Athlon 1700. Так же, начав расшифровку, вы можете изучить, какие пользователи присутствуют на машине. Особенное внимание обратите к строчке, содержащей имя пользователя Администратор. Его пароль вам и предстоит узнать. Учтите, что возможно, пароля администратора вы не получите. И это связано даже не с тем, что вы выбрали пароль недостаточной длины. Возможно, учетная запись Администратора на данном компьютере просто заблокирована. Это одновременно означает только одно – вход, а так же награждение вас правами осуществляется посредством идентификации на сервере (чаще всего этот компьютер является контроллером домена), а значит все имена пользователей и пароли находятся в SAM’е именно там, на контроллере домена, до которого вам скорее всего не добраться. Что делать? Получать локального администратора, то есть админа только на той машине, за которой вы сидите.

Сделать это довольно просто – существует крохотная утилита GetAd, позволяющая с вероятностью 70% получить cmd.exe запущенную с правами администратора. То есть далее остается только набрать compmgmt.msc, а затем добавить себя в админы на этой машине так, как будто вы сам админ. Другой, уже стопроцентный способ заключается в том, что бы использовать ошибку в наследовании прав процессом в системах в windows системах. Для этого нужно понимать этот процесс достаточно глубоко. Возьмем некое приложение, запущенное администратором. Этот процесс администраторский. И что очень важно, для нас – то, что любой процесс, запущенный администраторским процессом – тоже будет администраторским. Подробнее о принципе наследования прав процессом можно прочитать в книге “Windows 2000 изнутри” Ари Каплана. Теперь как это использовать: дело в том, что в Windows NT/2000 до Service Pack 3 присутствует такой баг – скринсэйвер запускается с правами администратора. Что это нам дает – берем cmd.exe, переименовываем его в logon.scr, и заменяем им стоящий по умолчанию. Догадываетесь, что произойдет? По прошествии минуты застоя мыши и клавы система запустит скринсэйвер, который на самом деле cmd.exe ;-).

Далее все так же – compmgmt.msc, добавление пользователя и перезагрузка с новым пользователем в админах ?. И что характерно – никаких паролей ?. Получение вышеописанными способами прав администратора дает вам ещё одну возможность. Если вы находитесь в системе под администратором, то вы можете получить хеш паролей минуя SAM файл. В названном выше LophtCrack есть такая функция – дамп пароля посредством метода pwdump2. То есть никакой возни с DOS и загрузочными дискетами.
Таким образом, вы сможете получить пользователя, являющегося администратором компьютера за которым вы сидите. Вы сможете править реестр, ставить программы - возможно это вам покажется достаточно и на этом можно будет остановиться. Ежели ваши желания простираются дальше этих ограничений и ваша цель – учетка администратора на контроллере домена, то идем дальше.

Два направления, которыми вам следует вплотную заняться это сниффинг и сканирование сервака на предмет багов. Для сниффинга я рекомендую программу Iris, как наиболее удобную. Единственное, что может вас остановить, это умелые руки админа. Не смотря на то, что в вышеназванном LophtCrack есть функция поиска пароля в снифф-пакетах, надыбанных ирисом, возможно ваши поиски окажутся безрезультатными – причиной тому может стать разработанный в 1999 году протокол Kerberos 5, отвечающий за шифровку и идентификацию компьютеров в сети.

Что касаемо взлома сервера посредством багов на нем – советовать что то бесполезно. Смотреть открытые порты, установленные на них сервисы, вообщем как всегда ?. Что касаемо случая, повлекшего мой интерес к этой теме, - она решалась именно так, путем взлома кривоватенького IIS на серваке, посредством банального XSpider’a.