Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: UNITY
محمد نصیری ، بنیانگذار ITPRO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ...
ارسال پیام خصوصی
امتیازات این مطلب
مقاله: چگونه رمز عبور ویندوز را کرک کنیم ؟ قسمت دوم
در مقاله اول از این سری مقالات به شما مکانیزم های Hashing و شیوه ذخیره سازی آنها در ویندوز را نشان دادیم ، همچنین در خصوص نقاط ضعف و قدرت هر یک از الگوریتم های رمزنگاری موجود و راه های کرک کردن آنها صحبت کردیم . در مقاله دوم و آخرین مقاله از این سری مقالات به شما روش های کرک کردن این رمزهای عبور را با استفاده از انواع ابزارهای رایگان موجود را آموزش خواهیم داد و در نهایت یک سری نکات مهم برای جلوگیری از کرک شدن رمزهای عبور و بروز چنین نقاط ضعف امنیتی در سیستم را به شما معرفی خواهیم کرد. قطعا به این موضوع توجه کنید که وب سایت انجمن حرفه ای های فناوری اطلاعات ایران یک وب سایت هک و کرک نیست ، تمامی مواردی که در این مقاله عنوان می شود جنبه آموزشی و از طرفی برای ارائه راهکار مقابله با چنین حملاتی است و به هیچ عنوان جنبه ایجاد تخریب در سیستم ها در این مقاله وجود ندارد ، در صورتیکه قصد آزمایش این موارد را دارید صرفا در محلی که مجوزهای لازم برای شما وجود دارد اقدام به آزمایش کنید.

بدست آوردن Hash های رمزهای عبور سیستم


قبل از اینکه اقدام به کرک کردن رمزعبور کنید بایستی Hash مربوط به رمز عبور مربوطه را از سیستم عاملی که در آن ذخیره شده است بدست بیاورید . همانطور که در مقاله قبلی نیز عنوان شد این Hash ها در فایل SAM یا Security Account Manager ویندوز ذخیره می شوند .این فایل در مسیر زیر در سیستم عامل ویندوز قرار دارد :
C:\Windows\System32\config
محل قرار گرفت فایل SAM در ویندوز


توجه کنید که در زمانیکه سیستم عامل در حال فعالیت است شما قادر به دستیابی به محتویات این فایل نیستید. همچنین همین مقادیر در کلید های رجیستری زیر نیز ذخیره شده است اما همانند فایل SAM در هنگام فعالیت سیستم عامل غیر قابل دستیابی می باشد. در ادامه روش های مختلفی که شما در سطوح دسترسی متفاوت می توانید به این فایل در سیستم دسترسی پیدا کنید را معرفی خواهیم کرد.
HKEY_LOCAL_MACHINE\SAM
محل قرارگیری فایل رجیستری SAM ویندوز


دسترسی فیزیکی به سیستم


اگر شما به سیستم مورد نظر دسترسی فیزیکی دارید ، بهترین گزینه استفاده از CD یا DVD های Bootable ای است که سیستم را با یک سیستم عامل دیگر Boot کرده و به شما اجازه دسترسی به پارتیشن NTFS مورد نظر که فایل SAM در آن قرار دارد را می دهد. اگر با سیستم عامل لینوکس راحت هستید ، براحتی می توانید از یک Live Linux استفاده کرده و بعد از اینکه سیستم Boot شد ، پارتیشن مورد نظر ویندوز را بر روی لینوکس Mount کرده و فایل SAM سیستم را داخل یک حافظه جانبی کپی کنید .

اگر با این روش راحت هستید می توانید از نرم افزار NT Password Editor که یک لینوکس Bootable برای ریست کردن رمز عبور کاربرانی است که در ویندوز رمز خود را فراموش کرده اند استفاده کنید. می توانید نرم افزار رایگان فوق را از این آدرس دریافت کنید. این نرم افزار ابتدا از کاربر یک ورودی دریافت می کند و از همان وروردی یک Hash جدید ایجاد می کنید ، این Hash جدید را به جای Hash رمز عبور قبلی سیستم در فایل SAM وارد می کند ، با اینکار رمز جدید بر اساس Hash جدیدی که کاربر وارد کرده است محاسبه می شود . استفاده ما از این ابزار در این است که این نرم افزار براحتی محتویات SAM سیستم را خوانده و به ما نمایش می دهد.

برای اینکه بتوانید اینکار را بکنید ، بعد از اینکه فایل مورد نظر را از وب سایت ذکر شده دانلود کردید ، آن را از حالت فشرده خارج کرده و فایل ISO مورد نظر را بر روی CD رایت کنید . سیستم را با این CD بوت کنید و system partition خود و محل قرار گیری فایل SAM و رجیستری را برایش مشخص کنید ، در این قسمت گزینه password reset option [1] را انتخاب کنید ، با انتخاب عدد 9 به Registry Editor وارد شوید و به دایرکتوری که در آن فایل SAM ویندوز وجود دارد وارد شوید . با استفاده از دستور cat محتویات فایل مورد نظر خود را باز کنید. خروجی این فایل بصورت Hexadecimal می باشد که براحتی با یک تبدیل ساده می توان آن را به حالت Decimal تبدیل کرد. توجه کنید که این روش در صورتی می باشد که شما آشنایی حداقلی با سیستم عامل لینوکس را داشته باشید.

فایل HexaDecimal  حاوی Hash رمز

شکل یک :محتویات Hexadecimal فایل SAM

همانطور که قبلا هم اشاره کردم ابزار Offline NT Password Editor برای برداشتن و ریست کردن رمز عبور کاربران سیستم عامل ویندوز بکار می رود و کار کردن با این ابزار برای بدست آوردن Hash فایل ها چندان هم آسان نیست ، فقط قبل از استفاده از Offline NT Password Editor مطمئن شوید که سیستم عامل ویندوز شما از رمزنگاری EFS استفاده نکند ، استفاده از این ابزار کلید های EFS شما را از بین خواهد برد و مشکلاتی برای فایل های رمزنگاری شده شما قطعا به وجود خواهد آمد. بهترین گزینه برای استفاده از این ابزار برداشتن رمز ویندوز است.

دسترسی کنسولی به سیستم


اگر به سیستم مورد نظر دسترسی فیزیکی ندارید اما از طریق شبکه و پروتکل Remote Desktop یا VNC به این سیستم دسترسی دارید ، می توانید با استفاده از ابزاری به نام fgdump به فایل SAM مورد نظر دسترسی پیدا کنید . شما می توانید این ابزار رایگان را از طریق این لینک دریافت کنید .بعد از اینکه ابزار fgdump را از آدرس گفته شده دانلود کردید براحتی می توانید آن را بدون تنظیم خاصی اجرا کنید و این تست را می توانید ابتدا با سیستم خود انجام دهید.

بدست آوردن Hash موجود در فایل SAM

شکل دو : ابزار fgdump از فایل SAM موجود بر روی سیستم Local یک کپی با موفقیت انجام داد.

fgDump 2.1.0 - fizzgig and the mighty group at foofus.net
Written to make j0m0kun's life just a bit easier
Copyright(C) 2008 fizzgig and foofus.net
fgdump comes with ABSOLUTELY NO WARRANTY!
This is free software, and you are welcome to redistribute it
under certain conditions; see the COPYING and README files for
more information.
No parameters specified, doing a local dump. Specify -? if you are looking for help.
--- Session ID: 2013-05-17-05-04-20 ---
Starting dump on 127.0.0.1
** Beginning local dump **
OS (127.0.0.1): Microsoft Windows Unknown Professional (Build 7600) (64-bit)
Passwords dumped successfully
-----Summary-----
Failed servers:
NONE
Successful servers:
127.0.0.1
Total failed: 0
Total successful: 1

حاصل اجرای ابزار fgdump بدون هیچ پارامتری را در تصویر بالا مشاهده کردید ، کمی به متن اعلام شده توسط نرم افزار دقت کنید . در متن اشاره شده است که fgdump comes with ABSOLUTELY NO WARRANTY بدین معنا که هیچگونه تضمینی در خصوص تخریب سیستم شما یا مشکلاتی که بر روی سیستم شما ایجاد می شود از طرف fgdump مورد پذیرش نیست و این ابزار را شما با مسئولیت خودتان بر روی سیستم اجرا می کنید. بیشتر ابزارهایی که برای کاربردهای اینچنینی هک و کرک مورد استفاده قرار می گیرند به دلیل دسترسی به منابع غیر مجاز سیستمی و از طرفی وجود برخی ابزارهای مخرب بر روی آنها از طرف سیستم به عنوان نرم افزار مخرب شناسایی می شوند و آنتی ویروس ها نیز آنها را شناسایی می کنند ، ترجیحا برای انجام آزمایش از این ابزارها در محیط لابراتوار و مجازی استفاده کنید.بعد از اینکه این دستور را اجرا کردید ، در همان پوشه ای که فایل اصلی ابزار fgdump وجود دارد یک فایل دارای محتویات Hash هایی که درون SAM قرار دارد ایجاد می شود ، شما براحتی می توانید این فایل را با Notepad باز کرده و Hash های موجود برای رمز کاربران را مشاهده کنید. در کنار هر کاربر که بصورت لیست شده در فایل موجود است رشته Hash مربوط به رمزش قابل مشاهده می باشد.

محتویات فایل SAM ویندوز

شکل سوم : خروجی ابزار fgdump که شامل لیست کاربران و Hash رمزهای عبور آنها می باشد

دسترسی از طریق شبکه به سیستم


در نهایت اگر شما هیچگونه دسترسی مستقیم و غیرمستقیمی به سیستم هدف ندارید و می خواهید Hash های مورد نظرتان را بیابید بایستی با استفاده از ابزارهای شنود یا Sniff اطلاعات رد و بدل شده در شبکه را Sniff کنید تا در حین انجام فرآیند احراز هویت کاربران که رمز عبور در قالب Hash منتقل می شود بتوانید Hash رمز کاربر را بدست بیاورید . قطعا این فرآیند ممکن است زمانگیر باشد به دلیل اینکه حتما بایستی یک کاربر درخواست دسترسی به منابع یا ورود به دامین کنترلر را در شبکه داشته باشد تا فرآیند احراز هویت انجام شود و اگر این فرآیند انجام نشود هیچگونه Hash ای در شبکه منتقل نخواهد شد که شما بتوانید آن را Sniff کنید . بنابراین قطعیتی برای جواب گرفتن از این روش وجود ندارد و ممکن است فرآیند زمانگیری داشته باشد ، به نظر من بیشتر در فرآیند های تست نفوذ سنجی این یک شانس برای مهاجم می باشد که بتواند در حین انجام عملیات احراز هویت شبکه را Sniff کند.

اگر سیستم هدف شما در همان سگمنت شبکه قرار دارد که شما در آن هستید ، شما می توانید با استفاده از ابزار رایگانی به نام Cain and Abel که البته از معدود ابزارهای گرافیکی و کاربردی در زمینه هک می باشد برای Sniff کردن شبکه و بدست آوردن Hash رمز عبور کاربران استفاده کنید. شما می توانید این ابزار رایگان را از اینجا دانلود کنید . با استفاده از ابزار Cain and Abel شما می توانید فرآیندی به نام ARP Cache Poisoning را انجام دهید ، ARP Cache Poisoning به نوعی یک حمله از نوع MITM یا Man In The Middle می باشد که با استفاده از پروتکل ARP می توانید ترافیکی که بین دو سیستم رد و بدل می شود را به سمت سیستم مهاجم هدایت کند. زمانیکه قابلیت ARP Cache Poisoning بر روی Cain and Abel فعال باشد شما می توانید با استفاده از Sniffer موجود در این نرم افزار NTLM Hash های عبوری از سیستم های این بین را Sniff کنید. فرآیندی که در پس زمینه ARP Cache Poisoning انجام می شود خارج از مبحث این مقاله است و به امید خدا در مقاله ای دیگر به صورت مفصل در این خصوص صحبت خواهیم کرد.

کرک کردن رمز عبور با استفاده از Cain and Abel


خوب تا اینجا شما Hash رمز عبور مورد نظر برای کرک کردن را پیدا کرده اید ، نوبت به این می رسد که این رمز را کرک کنید. اگر تا به حال نرم افزار Cain and Abel را دانلود و نصب کرده اید که هیچ ، اما اگر دانلود نکرده اید می توانید از لینکی که در پاراگراف قبلی معرفی شد نرم افزار را دانلود کنید . نصب Cain and Abel مثل همه نرم افزارهای دیگر ویندوزی چند Next دارد که براحتی انجام می شود. فقط توجه کنید که کلیه نرم افزارهایی که کار Sniffing شبکه را انجام می دهند به کتابخانه WinPCap نیاز دارند که شما در حین نصب بایستی آن را داشته باشید یا دانلود کنید. بعد از اینکه نصب نرم افزار تمام شد شما وارد نرم افزار شده و به تب Cracker وارد شوید . سپس بر روی هدر LM & NTLM Hashes کلیک کنید و بر روی قسمت خالی وسط راست کلیک کرده و گزینه Add to List را انتخاب کنید. Cain به شما اجازه کپی مستقیم Hash به داخل کنسول نرم افزار را نمی دهد و شما بایستی Hash را در قالب یک فایل Text به آن تحویل دهید ، اگر فایل خود را با استفاده از نرم افزار fgdump استخراج کرده اید دیگر نیازی به ایجاد فایل ندارید و تمامی قالب مورد نیاز Cain از خروجی این نرم افزار دریافت می شود.

قالب فایل برای کرک شدن توسط Cain and Abel

شکل چهارم : فالب درست Hash های ورودی به نرم افزار Cain

اگر Hash رمزعبور خود را بصورت دستی استخراج کرده اید بایستی آن را بصورت خط به خط در قالبی که برای Cain قابل فهم باشد تبدیل کنید ، چیزی که می توانید در تصویر قبلی مشاهده کنید. هر خط از این فایل بایست شامل نام کاربری یا Username و Relative Identifier یا RID و قسمتی از SID کاربر و همچنین Hash مربوط به رمزعبور کاربر باشد. قالب کلی به شکل زیر می باشد :
Username:RID:LMHash:NTLMHash:::

Administrator:500:E52CAC67419A9A22664345140A852F61:67A54E1C9058FCA16498061B96863248:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
ITPRO:1000:0182BD0BD4444BF836077A718CCDF409:259745CB123A52AA2E693AAACCA2DB52:::
LMTest:1002:CCF9155E3E7DB453AAD3B435B51404EE:3DBDE697D71690A769204BEB12283678:::
MIMO:1001:921988BA001DC8E14A3B108F3FA6CB6D:E19CCF75EE54E06B06A5907AF13CEF42:::



با استفاده از Browse فایل مورد نظر را پیدا کرده و Hash ها را به درون Cain and Abel وارد کنید ( Import کنید ) . بعد از این مرحله شما می توانید بر روی اکانتی که می خواهید رمزعبورش را کرد کنید راست کلیک کنید و گزینه Brute Force Attack را به همراه LM Hashes انتخاب کنید. در حالت Brute Force سیستم هر حالت ممکنی از رمزعبور را تست می کند با هر ترکیب و مقداری که بتواند تا در نهایت بتواند ترکیب درستی که با Hash موجود برابری کند را پیدا کند.در صفحه ای که جلوی خود می بینید می توانید برای سیستم تعریف کنید که مثلا صرفا اعداد مشخصی را برای تست Brute Force در نظر بگیرد و حداقل و حداکثر طول رمزی که برای کاربر تست شود را نیز می توانید تعیین کنید. توجه کنید در صورت انتخاب LM Hash ، مجموعه کاراکترها بصورت پیشفرض در Cain به گونه ای تنظیم شده اند که صرفا حروف کاراکترهای بزرگ و کوچک تا حداکثر طول 7 کاراکتر را تست کنند که این از خواصی است که برای LM Hash ها در مقاله قبلی ذکر کردیم. در مثال ما که رمز عبور را PassWord123 انتخاب کردیم ، شما مشاهده کنید که برنامه چقدر سریع به شما می گوید که رشته رمزنگاری شده در قسمت اول که 664345140A852F61 می باشد در رمز عبور به شکل D123 می باشد . یعنی در وهله اول ما قسمت دوم رمز را پیدا کردیم. در یک کامپیوتر مدرن معمولا کرک کردن رمزهایی که از اعداد و LM استفاده می کنند معمولا دو ساعت و نیم تا سه ساعت زمان نیاز دارد.

Crack کردن Hash با استفاده از Cain and Abel

شکل پنجم : Cain با موفقیت Hash رمز عبور را کرک کرد

کرک کردن رمزعبور با استفاده از John The Ripper


نرم افزار Cain and Abel برای کرک کردن Hash های LM خوب عملی می کند اما کمی کند است و برای شکستن Hash های NTLM V2 بسیار بسیار کند تر عمل می کند. اگر با کار کردن با ابزارهای Command ای راحت هستید می توانید از ابزاری به نام John The Ripper که برای کرک کردن Hash ها بکار می رود استفاده کنید. همیشه در دوره های هک قانونمند به دانشجوهای خود می گویم که همیشه ابزارهای Command ای ضمن سریعتر بودن دارای حجم کمتری هستند و بصورت تخصصی تری کار خود را انجام می دهند. John The Ripper یکی از سریعترین و قویترین موتورهای کرک محسوب می شود. شما می توانید John The Ripper را از اینجا دانلود کنید .بعد از اینکه فایل مورد نظر برنامه را دانلود کردید آنرا از حالت فشرده خارج کرده و می توانید فایل اجرایی نرم افزار به نام John-386.exe را از زیر پوشه run اجرا کنید. John The Ripper سویچ ها و حالت های مختلفی برای اجرای خود دارد اما در حالت پیشفرض بعد از اجرا فقط کافیست که فایل Hash ها را به آن معرفی کنید و نرم افزار را از طریق Command Prompt اجرا کنید.

Crack شدن رمز با استفاده از John The Ripper

شکل هفتم : نرم افزار John The Ripper در حال کرک کردن Hash رمز عبور

بعد از اینکه فرآیند کرک کردن کامل شد ، John The Ripper رمزهای عبور کرک شده را در یک فایل به نام john.pot ذخیره می کند.در بیشتر مواقع حالت کرک کردن پیشفرض جواب می دهد ، اما John The Ripper می تواند حالت های مختلفی برای کرک کردن Hash ها داشته باشد که مهمترین آنها به ترتیب زیر است :

  • Single Crack Mode : با توجه به نام کاربری موجود و اعمال تغییرات بر روی آن کرک را انجام می دهد.
  • Wordlist Mode : کرک را بر اساس ساختار Dictionary Attack انجام می دهد.
  • Incremental Mode : کرک را بر اساس ساختار Brute Force انجام می دهد.
  • External Mode : کرک را بر اساس ساختار حدس زدن رمز یا Password Guessing انجام می دهد.

John The Ripper در هر حالت یک ابزار بسیار قوی برای کرک کردن رمزهای عبور به حساب می آید.

کرک کردن Hash های رمز عبور با استفاده از Rainbow Tables


برخی اوقات رمز عبور کاربر ضمن اینکه دارای پیچیدگی و تعداد کاراکترهای بالایی است از ساختار NTLM V2 نیز استفاده می کند ، شکستن یا کرک کردن اینگونه رمزها بسیار زمانگیر و سخت است . در اینجاست که استفاده از Rainbow Tables پیشنهاد می شود. Rainbow Table ها جداولی هستند که در آنها Hash های آماده و در مقابل آنها ترکیب لغوی که سازنده Hash می باشند با هرگونه ترکیب ممکن از رمزنگاری ها قرار گرفته اند. قطعا به این نتیجه رسیده اید که Rainbow Table ها می توانند حجم زیادی از هارد دیسک را به خود اختصاص دهند و با به فضای زیادی نیاز دارند.سالها پیش به دلیل محدودیت هایی که در میزان حافظه ها و هارد دیسک ها وجود داشت استقبال چندانی از Rainbow Tableها نمی شد اما با پیشرفت تکنولوژی امروزه یکی از پرطرفدارترین روش ها برای Penetration Tester ها و Hacker ها استفاده از هارد دیسک های External ای است که در داخل آنها Rainbow Table وجود دارد.

هر چند پیدا کردن محلی برای تولید و دانلود کردن Rainbow Table ها کار سختی نیست اما در مقاله قبلی لینک خرید هارد اکسترنال حاوی Rainbow Table را قرار داده ایم. از آن بهتر وب سایت هایی هستند که برای خود پایگاه داده ای از Rainbow Table ها ایجاد کرده اند و شما می توانید hash خود را بصورت آنلاین در این سیستم ها قرار داده و نتیجه را مشاهده کنید. برخی از این سایت ها در صورتیکه Hash مورد نظر شما را در پایگاه داده خود موجود نداشته باشند آن را شروع به کرک کردن می کنند. جالب اینجاست که شکستن Hash ها به نوعی یک رکورد به حساب می آید و این سرویس وب آخرین Hash هایی را که توسط سرویس مورد نظر کرک شده است را معمولا در صفحه اول به نمایش می گذارد. در ادامه لیستی از بهترین وب سایت هایی که Rainbow Table های آنلاین در اختیار شما قرار می دهند را مشاهده می کنید :

  1. www.crackstation.net
  2. www.rainbowcrack-online.com
  3. www.freerainbowtables.com
  4. www.onlinehashcrack.com

در تصویر زیر Hash مربوط به کاربر MIMO در وب سایت مورد نظر وارد شده است ، بلافاصله بعد از ثبت رمزعبور متناسب با این Hash نمایش داده می شود که در این مثال رمزعبور کاربر MIMO به شکل P@ssw0rd می باشد.

کرک کردن رمز با استفاده از Rainbow Tables


برای ثبت Hash بدست آمده توسط شما در اینگونه سایت ها کافیست شما بر روی گزینه Add Hashes کلیک کرده و نوع الگوریتم رمزنگاری خود را نیز مشخص کنید و آنرا Submit کنید. در صورتیکه Hash مورد نظر قبلا توسط این سرویس کرک شده باشد بلافاصله به شما رمز مورد نظر نمایش داده می شود و در غیر اینصورت این Hash در لیست انتظار یا صف انتظار برای کرک کردن قرار می گیرد. شما می توانید وضعیت این صف انتظار را با رفتن به لینک Search و جستجوی Hash مورد نظرتان بررسی کنید و موقعیت Hash خود در صف انتظار را مشاهده کنید. رمزهای عبوری که دارای پیچیدگی زیادی هستند با این روش کمی بیشتر زمان می خواهند اما هر چه باشد سرعت این روش بیشتر از روشی است که شما به تنهایی و با استفاده از سخت افزار های خانگی شروع به کرک کردن Hash بکنید.

مقابله در برابر کرک شدن رمزهای عبور


معمولا تصور مردم از بحث رمزنگاری این است که فرآیند رمزنگاری باید به گونه ای باشد که هیچکس و به هیچ عنوان نتواند متن رمزنگاری شده را رمزگشایی کند ، این برداشت تا حدودی نادرست است.این دیدگاه ناشی از آن است که مردم باور دارند که کامپیوترها برای انجام عملیات رمزنگاری اعداد تصادفی تولید می کنند ، اما باید توجه کنید که کامپیتورها اعداد تصادفی را به آن صورتیکه تصادفی در مباحث برنامه نویسی معنی دارد تولید نمی کنند و منطق تصادفی در برنامه نویسی و رمزنگاری متفاوت است. هدف واقعی رمزنگاری این است که متن رمزنگاری شده برای کرک شدن نیاز به زمان طولانی داشته باشد و به سادگی و در زمان کم کرک نشود. با توجه به این نکته شما می توانید تا حدودی با استفاده از نکاتی که در ادامه گفته می شود امنیت رمزعبور خود در مقابل Cracker ها را تا حدودی افزایش دهید.

استفاده از رمزهای عبور پیچیده و تعویض رمزهای عبور بصورت مستمر


بهترین راهکار برای جلوگیری از کرک شدن رمزعبور این است که تا می توانید رمزعبورهای خود را پیچیده طراحی کنید. اگر رمز عبور شما ترکیبی از حروف بزرگ و کوچک ، اعداد و علامات و طول زیادی باشد برای یک Cracker زمان بسیاری نیاز است تا بتواند رمز عبور شما را کرک کند. دومین نکته در این است که در وهله های زمانی معین رمزعبور خود را تغییر دهید ، فرض کنید که رمزی پیچیده دارید که 1 ماه طول می کشد تا کسی بتواند آن را کرک کند ، اما راس زمان 1 ماه شما رمز عبور را عوض می کنید و همین موضوع باعث از بین رفتن تلاش Cracker می شود و وی می بایست مجددا تلاش خود را آغاز کند. پس رمزعبور پیچیده انتخاب کنید و مرتبا آن را در وهله های زمانی معین عوض کنید.

غیرفعال کردن LM Hash در ویندوز


تا اینجا قطعا به ضعفی که در الگوریتم رمزنگاری LM و Hash های آن وجود دارد پی برده اید. نکته مهم در اینجاست که دیگر نیازی نیست شما از ساختار LM Hash در شبکه خود استفاده کنید. سیستم عامل های جدید این قابلیت را به ما می دهند که بتوانید با استفاده از انجام چند تغییر کوچک در ساختار Registry ویندوز کلیه فعالیت های LM Hash ها بر روی سیستم را غیر فعال کنیم و سیستم را مجبور به استفاده از NTLM V2 کنیم ، برای غیرفعال کردن LM Hash به مسیر رجیستری زیر بروید:
HKLM\System\CurrentControlSet\Control\LSA
در اینجا یک کلید DWORD با نام NoLMHash ایجاد کنید و مقدار آنرا 1 قرار دهید ، تا این مرحله LM Hash ها غیر فعال شده اند.گام بعدی غیرفعال کردن LM Authentication یا احراز هویت LM در شبکه است برای انجام اینکار مجددا به مسیر رجیستری قبلی وارد شوید . در اینجا به دنبال کلیدی به نام LMCompatibilityLevel بگردید و مقدار آن را عدد 3 قرار دهید ، در اینجا عدد 3 بدین معناست که سیستم فقط از قابلیت احراز هویت NTLMV2 استفاده کند. راهکار جایگزین این است که عدد را به 5 تغییر دهید ، این باعث می شود که تمامی درخواست هایی که صرفا با ساختار NTLMV2 ایجاد می شوند توسط سرور پردازش شوند و این راهکار برای سرورها بسیار مفید است. تنها جایی که ممکن است شما در استفاده از این ساختار دچار مشکل شوید زمانی است که در شبکه خود از سیستم عامل ویندوز NT و یا قدیمی تر از آن استفاده می کنید. البته اگر هنوز از این سیستم عامل ها در شبکه خود دارید ، صادقانه بگویم ، سعی کنید از شرشان راحت شوید .

استفاده از SYSKEY


SYSKEY یکی از امکانات ویندوز است که به شما این قابلیت را می دهد که بتوانید فایل SAM موجود در سیستم خود را یک کلید 128 بیتی علاوه بر رمزنگاری که در خود SAM وجود دارد ، رمزنگاری کنید و درجه امنیتی آن را افزایش دهید. ساختار SYSKEY به گونه ای است که یک کلید رمز از کاربر سیستم دریافت کرده و با همان کلید SAM را رمزنگاری می کند. توجه کنید که زمانیکه SYSKEY فعال شد دیگر غیرفعال نخواهد شد.SYSKEY فقط فایل SAM سیستم را محافظت می کند و از آن در مقابل کپی شدن محافظت می کند. SYSKEY نمی تواند در مقابل ابزارهایی که Hash رمزها را از درون حافظه سیستم خارج می کنند محافظت کند ، ابزارهایی مانند Cain and Abel و fgdump براحتی می توانند SYSKEY را دور بزنند.

نتیجه گیری


کرک کردن رمزهای عبور یک دانش ابزاری است که برای هر کسی که می خواهد رمز یک سیستم را بدست آورده و به درون آن نفوذ کند براحتی قابل یادگیری است ، به همین دلیل بسیار ضروری است که مدیران سیستم در خصوص شیوه ذخیره سازی رمزهای عبور و همچنین روش های سرقت و کرک کردن آن اطلاع داشته باشند. شما دیگر متوجه شده اید که اگر در جایی مشاهده کردید که از LM Hash ها استفاده می شود پس قطعا رمز عبور آن بسیار ساده قابل بدست آوردن و شناسایی می باشد . شما یاد گرفتید که چگونه می توانید تاحدودی در مقابله با این نوع حملات از سیستم خود محافظت کنید ، با هم یاد گرفتیم که چگونه می توان یک Hash را رمزگشایی کرد و قطعا شما در حال حاظر دید ساده ای به سیستم خود نخواهید داشت. امیدوارم در مقاله های بعدی در خصوص کرک و هک و روش های مقابله با آنها اطلاعات بیشتری در اختیار شما دوستان قرار بدم.

نویسنده : محمد نصیری
منبع : انجمن حرفه ای های فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
دیدگاه ها
  • ارسال توسط:
  • زمان ارسال: 44 ماه قبل
با سلام
یک سوال : آیا یک مدیر میتونه با بهره گیری از نرم افزارها و ابزارها از وجود هکرها در شبکه خود که در حال Sniff کردن هستند پی ببره و رد اونها رو بزنه؟ هکر هایی که از یک سری ابزار از جمله Cain & Abel برای Sniff استفاده میکنند
  • ارسال توسط:
  • زمان ارسال: 44 ماه قبل
هر کامپیوتری که بتونه به شبکه متصل بشه به هر طریقی چه با سیم و چه بی سیم میتونه شبکه رو Sniff کنه فارق از اینکه کاربر مدیر هست یا نه ، اما خوب برخی از این نرم افزارهای Sniffer برای کار کردن حتما نیاز به کاربر Administrator یا کاربری با همون سطح دسترسی باشند . جواب اصل مطلب شما اینه : یک مدیر شبکه همیشه هر کاری که بخاد رو میتونه انجام بده ، چه بسا بسیاری از نرم افزارهای مانیتورینگ شبکه ، شبکه رو Sniff می کنند اما برای مسائل مفید.

  • ارسال توسط:
  • زمان ارسال: 44 ماه قبل
ببخشید آقای نصیری . فکر کنم منظور آقای شمس اینه که آیا مدیر میتونه با استفاده از بعضی ابزار ها از وجود هکرهایی که در حال Sniff شبکه هستند ، با خبر بشه . یعنی بفهمه که شبکه در حال Sniff شدن است .
  • ارسال توسط:
  • زمان ارسال: 44 ماه قبل
درسته منظور من همون چیزی هست که آقای تقی زاده فرمودند
من به عنوان مدیر میخام اگر کسی در شبکه من به وسیله ابزاری خواست Sniff کنه مطلع بشم و در صورت امکان ردش رو بگیرم
میخام بدونم تا به چه حد میتونم از کارکرد این هکر مطلع بشم ...
آیا میتونم تا حدی از موقعیت جغرافی اون مطلع بشم ؟
  • ارسال توسط:
  • زمان ارسال: 44 ماه قبل
بله ، قاعدتا وقتی کسی داره شبکه رو Sniff می کنه ترافیک زیادی در شبکه ایجاد می کنه البته در حالتی که Sniff از کل شیکه داشته باشه و در این مواقع همونطوری که گفتم با استفاده از ابزارهای مانیتورینگ میشه ترافیک زیاد رو تشخیص داد که میتونه دلیلی بر Sniff شدن شبکه در اون نقطه باشه ، اما همیشه جوابگو نیست و کاملا به زیرکی هکر بستگی داره ، شما برای جلوگیری از Sniff شدن راهکارهای دیگه ای رو بایستی در نظر داشته باشید چون صرفا مانیتورینگ کافی نیست و باید فرآیند های جلوگیری کننده در شبکه پیاده سازی کنید ، مثلا روی سویچ هاتون Port Security بزارین.
  • ارسال توسط:
  • زمان ارسال: 34 ماه قبل
از کجا میشه متوجه شد یک hash با چه الگوریتمی هش شده است
  • ارسال توسط:
  • زمان ارسال: 29 ماه قبل
از قالب ساختاریش میشه تشخیص داده ، معمولا تعداد و نوع کاراکترها و یا اندازه طول رشته میگه چه نوع Hash ای هست.
ضمن تشکر از شما
از لیست بهترین وب سایت هایی که Rainbow Table های آنلاین در اختیار قرار میدهند
دومین سایت یعنی www.rainbowcrack-online.com وقتی باز میکنیم Redirect میشه رو یه دامین دیگه که کارش ساختن وب سایت هست (website-builder)
چهارمین سایتی که معرفی شده یعنی www.onlinehashcrack.com خیلی جالب کار میکنه کمی کنده اما خوبه شما فایل هش رو بهش میدی ایمیلت رو میگیره و میگه برو دنبال کار و زندگی ات هر موقع پیدا کردم بهت ایمیل میدم اما مشکلی که هست اینه که پسورد های تا 8 کارکتر رو رایگان بررسی میکنه و کارکتر های بالا تر از اون رایگان نیست.
و الان اکثر پسورد ها حداقل 8 کارکتری هستند پس یه جورایی کار آمد نیست .
  • ارسال توسط:
  • زمان ارسال: 25 ماه قبل
اگر دقت کنید مطلب واسه 19 ماه پیشه ، اون زمان وب سایت فعال بوده طبیعتا ما هم لینک فعال اون روزها رو گذاشتیم که حالا به امید خدا اصلاحش می کنیم ، در خصوص اینکه دیگه پسوردها حداقل 8 کاراکتر هستند اصلا موافق نیستم ، اتفاقا هر چقدر جلوتر میریم پسوردهایی که کاربران استفاده می کنند ضعیف تر و قابل حدس تر میشن ، اکثر سازمان ها اصلا رو مقوله پسورد زمان نمیزارن و شما براحتی پسوردهای:
  • 12345678
  • 987654321
  • 123456
  • 741852963
  • 963852741
  • 159753
  • 357951
  • 111111
  • شماره پرسنلی
  • شماره شناسنامه
  • خط داخلی
  • شماره و باز هم شماره ...
رو میبینید که تقریبا از هر 2 نفر تو یه سازمان یکیشون پسوردش از میون پسوردهای بالا بیرون میاد ، من همین چند وقت پیش یک پروژه تست نفوذ سنجی داشتم که با شنود کردن شبکه و بدست آوردن یک Hash از یک کاربر عادی در عرض 5 ثانیه Cracker به من پسورد 12323 رو خروجی داد که با همین کاربر محدود کلی اطلاعات از شبکه دریافت کردیم و حمله موفقیت آمیز شد ...
درسته تاریخ مقاله قدیمی هست و جهت اطلاع از وضعیت سایت ها خواستم بگم تا کاربران دیگه اطلاعات داشته باشن ، به هر حال این سایت ها ممکنه تغییر کنن و ما اصلاً نمیتونیم ضمانت کنیم که این سایت ها همچنان به کار قبلی شون ادامه بدن.
منظور من از تعداد کارکتر های پسورد بیشتر روی پسورد های Wifi بود که مودم ها از 8 کارکتر به بالا رو ساپورت میکنن.
چون سایت آخری که معرفی شده یکی از کارهاش از هش خارج کردن پسورد وایرلس هست فایل هایی با پسوند Cap.
البته در مورد پسورد های ویندوز درسته پسورد های کوتاه و راحت همیشه برای یوزر ها set میشه.
مهندس جان اگر وقت کردی در مورد فرآیندی که در پس زمینه ARP Cache Poisoning هم توضیح بده.
  • ارسال توسط:
  • زمان ارسال: 4 ماه قبل
دوستان در NT pass editor تا قبل از دایرکتوری SAM یعنی تا config امده ام ولی نمیدانم چطوری بایه وارد زیر شاخه های SAM بشم تا بتونم hash ها رو بردارم
Image

  • ارسال توسط:
  • زمان ارسال: 4 ماه قبل
دوست من این چه ارتباطی به موضوع این مقاله داره ؟ لطفا در قالب یک سئوال جدا مطرح کنید سپاسگزارم
  • ارسال توسط:
  • زمان ارسال: 4 ماه قبل
در اموزش هاتون اشاره ای نشده بود بهتر دونستم اینجا بپرسم , در قالب سوال جداگانه مطرح کردم لطفا ج بدید .با تشکر
برای ارسال نظر وارد شوید.