Bonjour à tous,<br />Alors déjà tout d'abord, un joyeux noël s'impose!<br />En espérant que le barbu vous a comblé :].<br />Revenons aux choses sérieuses.<br /><br />C'est le fichier SAM qui va nous intérésser aujourd'hui.<br />Tout d'abord qui ne connais pas le fichier SAM?<br />C'est enfaite le fichier qui va contenir, les informations de sessions : les mots de pass y compris.<br />Il faut savoir que ce fichier est biensure, illisible, et inaccessible lorsque nous sommes sur notre session.<br />Il est en quelque sorte 'verrouillé' par le systeme.<br />Il existe donc deux alternatives pour nous :<br /><br />- L'on boot sur une distribution linux par exemple, où l'on va copier le sam sur un périphérique de stockage.<br /> - On utilise un outil comme pwdump.<br /> <br />Le fichier SAM contient les mots de pass encodé dans deux algorithme différent à savoir : LM hash et le NTLM hash.<br />Parlons à présent de lsass.exe.<br />C'est un processus natif de windows depuis Windows 2000 me semble t-il, lsass tout d'abord signifie "Local Security Authority Subsystem Service".<br />Autrement dit ce processus va permettre de gerer la connection aux sessions localement.<br />C'est en quelque sorte le serveur local d'authentification de windows.<br />Bon certains d'entres vous, pourraient se demander pourquoi on injecte dans lsass.exe et non dans un autre processus system?Comme svchost.exe.<br />J'ai moi même tenter d'injecter dans svchost.exe, mais sans réussite, je serais donc tenter de dire que les fonctions utilisées sont résérvées à lsass.exe ?<br />Je vous tiens au courant, lorsque j'en serais plus -> c'est qu'enfaite le service manipulant les users locaux est 'dirigé' par lsass.exe voir lien en bas de page.<br />Le mode opératoire est donc simple :<br /><br />- Nous allons tout d'abord donner les droits de debugs à notre executable.<br /> - Notre executable ira injecter une dll dans lsass.exe, c'est pour cela qui nous faut le debug privilege, afin d'injecter lsass.exe<br /> - A présent à la dll de jouer !<br /> - Elle va appeler successivement des apis exportés par samsrv.dll, qui seront ni plus ni moins des fonctions utilisés afin de 'rentrer' en contact avec le SAM.<br /><br />Au final nous aurons 'manipuler' lsass.exe afin de pouvoir récupérer la liste des users, ainsi que leurs mot de pass hashés dans les deux algorythme cités plus haut.<br />Pour mener à bien ce projet, je me suis permis d'analyser les sources de pwdump un petit peu : ça permet de savoir un peu où l'on va.<br />Ce que je vous recommande aussi, c'est d'éviter de faire des tests sur votre propre système, car lsass.exe en cas de problème va vous faire redemarer.<br />Je vous conseille alors l'utilisation de machine virtuel, souvent abrégée 'vm' afin de pouvoir mener à bien vos tests !<br />Les quelques nostalgiques d'entre nous, se rappelleront du célèbre ver Sasser qui utilisait une faille présente dans le processus lsass.exe justement.<br />Enfin bref, je vous présente une petite vidéo réalisé par mes soins afin d'illustrer un peu cette article.<br />Elle montre que mon petit outil fonctionne à merveille :).<br />Voici le lien : <a href="http://overclok.free.fr/Codes/s4mmy/s4mmy.wmv">s4mmy.wmv</a>.<br /><br />Je vous présente aussi un petit screenshot :<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://4.bp.blogspot.com/_kuo-yDTqvqc/R3I4rmlp2VI/AAAAAAAAAB0/A6i9ZOhGQZ0/s1600-h/s4mmy.png"><img style="cursor: pointer;" src="http://4.bp.blogspot.com/_kuo-yDTqvqc/R3I4rmlp2VI/AAAAAAAAAB0/A6i9ZOhGQZ0/s400/s4mmy.png" alt="" id="BLOGGER_PHOTO_ID_5148239645781907794" border="0" /></a><br /><br />Et un autre :<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://2.bp.blogspot.com/_kuo-yDTqvqc/R3I47Glp2WI/AAAAAAAAAB8/3QdiAIrQRyg/s1600-h/s4mmy2.png"><img style="cursor: pointer;" src="http://2.bp.blogspot.com/_kuo-yDTqvqc/R3I47Glp2WI/AAAAAAAAAB8/3QdiAIrQRyg/s400/s4mmy2.png" alt="" id="BLOGGER_PHOTO_ID_5148239912069880162" border="0" /></a><br /><br />Et enfin mon petit code :<br />- L'injecteur : <a href="http://overclok.free.fr/Codes/s4mmy/s4mmy.htm">s4mmy.c</a>.<br /> - La dll : <a href="http://overclok.free.fr/Codes/s4mmy/sc0ubi.html">sc0ubi.c</a>.<br /> <br />Liens et outils utiles :<br /><br />-Les sources du projet pwdump -> <a href="http://www.google.com/codesearch?hl=fr&q=show:XLfFm6CSy7k:uYtRtXzYO5g&sa=N&ct=rdp&cs_p=http://www.openwall.com/passwords/dl/pwdump/pwdump2.zip&cs_f=pwdump2">http://www.google.com/codesearch?hl=fr&q=show:XLfFm6CSy7k:uYtRtXzYO5g&sa=N&ct=rdp&cs_p=http://www.openwall.com/passwords/dl/pwdump/pwdump2.zip&cs_f=pwdump2</a><br />- Et notre fidèle LordPe, pour aller voir l'Export Address Section de samsrv.dll par exemple.<br />- Et biensure une machine virtuelle.<br />- LM Hash -> <a href="http://en.wikipedia.org/wiki/LM_hash">http://en.wikipedia.org/wiki/LM_hash.</a><br />- NTLM Hash -> <a href="http://en.wikipedia.org/wiki/NTLM">http://en.wikipedia.org/wiki/NTLM</a>.<br /><br />Voilà pour cette article, en espérant que ça servira a certains cya.<br />scoubidoubidou !<br /><br />PS : merci santa -> <a href="http://assiste.com.free.fr/p/services_windows/gestionnaire_de_comptes_de_securite.html">http://assiste.com.free.fr/p/services_windows/gestionnaire_de_comptes_de_securite.html</a><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/5190877782491799334-8870149034403058741?l=0vercl0k.blogspot.com'/></div>