uos 5dio winxp troubleshooting w 2005 06

Fakultet informacijskih tehnologija

[email protected]

asist. Adel Handi

Uvod u operativne sisteme :: Workshop

Copyright by: FIT 1

Datum: 10:04:2006

5. Windows XP Troubleshooting

5.1. Uvod

Koliko puta Vam se desilo da nakon rada na vaem raunaru, i to u vrijeme kada bi rekli da nita ne moe biti bolje neto krene krivo. Jednostavno jedno jutro va raunar za razliku od vas nikako nee da se probudi. Prilikom podizanja sistema dobivate razne poruke o greci ili jednostavno va raunar ne daje nikakve znake ivota. Postoji dosta situacija i razliitih scenarija kada i kako vam se moe dogoditi problem sa vaim raunarom i operativnim sistemom. Ovaj workshop je jednostavno premalen, da bi mi uradili sve te mogue scenarije, barem one koji su meni poznati . Radi toga, kroz kompletan workshop detaljno emo proi kroz jedan scenarij, scenarij zaboravljene Windows XP administratorske lozinke.

Zaboravljene? Ovo moete protumaiti kako god elite, neko je zapravo tu lozinku zaboravio, a neko eli da doe do nje bez obzira na uzrok koji je doveo to toga da je on zapravo ne zna niti smije znati.

5.2. Scenarij (stvarna pria) Jedno novembarsko jutro oko 8 sati zvoni telefon. Na telefonu se predstavi muki

glas i ree: Hitno nam je potrebna administratorska lozinka za taj i taj raunar moramo neto instalirati itd.. Iznenaen ranim telefonskim pozivom, i buenjem iz sna, te tako direktnim pitanjem jednostavno nastupila je blokada. Iako je osoba koja je upitala za administratorsku lozinku imala pravo da je zna, jednostavno nije bilo mogue da je se sjetim. Kasnijim razbijanjem glave i pokuavanjem, da se sjetim nije uspjelo. Lozinka je promijenjena dan prije na koju je primijenjena nova sigurnosna politiku, no radi iscrpljenosti nije evidentirana nigdje osim u administratorskoj (mojoj) glavi . Da stvar bude gora, na tom sistemu jedni korisniki raun je bio upravo taj built-in administratorski raun i naravno file sistem je NTFS. Zatim maina na kojoj je bila ta lozinka nije jedina, tako da je nastao prilino veliki problem. Raunar se ne smije otvarati, zbog postojanja ganrancije, nije prikljuen nikakvoj domeni i slino.

Napomena: Zbog ovakvih stvari potrebno je imati mrenu dokumentaciju, ali takvu

da svaku promjenu i na manjim klijentskim mainama evidentirate. Ovu evidenciju ne treba da radite svake prestupne godine, nego svaki put kada vrite bilo kakvu znaajniju promjenu na sistemu pogotovo tako vanu kako to je promjena administratorske lozinke kako ne bi dolo do ovoga.

5.3. Alati i programi Postoji mnogo naina i alata na koji moete doi do zaboravljene administratorske

lozinke na Widnows XP-u ili makar njenog resetovanja, no mi emo ovdje objasniti metodu koja e uvijek proi i ne zahtjeva nikakav posebni software. injenica je da vi moete uraditi reinstalaciju sistema, i tako postaviti novu administratorsku lozinku no koliko to vremena zahtjeva? Naravno uvijek moete kupiti alat recimo ako to je Windows Key (http://www.lostpassword.com/windows-xp-2000-nt.htm) koji e vam restovati bilo koju administratorsku lozinku i slino. No radi vanosti lozinke i njenog kasnijeg upotrebljavanja na ostalim raunarima, mi striktno elimo da saznamo koja je to lozinka.


[email protected]

asist. Adel Handi


Copyright by: FIT 2

Za ovaj workshop kao poseban software koristiti emo neku od Live LINUX

distribucija, konkretno Knoppix ( http://www.knoppix.org/ ). Plus kao brute-force alat za otkrivanje lozinke koristiti emo John The Ripper (http://www.openwall.com/john/ ).

5.4. Windows XP lozinke

Vjerojatno su se mnogi od vas zapitali gdje se nalaze Windows XP lozinke, tj. gdje ih Windows smjeta. Informacije o svim korisnikim raunima na lokalnim mainama su pohranjeni u bazu podataka koja se zove SAM (Security Accounts Manager). Ona sadri korisniko ime, hash lozinke, pristupne dozvole.

Lokacija SAM baze je: $:\windows\system32\config\SAM

Dok ste logirani na sistem ovu SAM datoteku ne moete kopirati niti proitati. Za vjebu probajte proitati njen sadraj ili je barem iskopirati na drugu lokaciju. Uporedo sa ovom lokacijom takoer se kreiraju i hive klju u registri bazi na lokaciji: hkey_local_machine\sam\sam\domains... Nita od ovoga hive kljua neete moi vidjeti ukoliko pregledavate registri bazu preko regedit.exe, odnosno po default-u korisnicima je zabranjen pristup. Da bi vidjeli sadraj ovog dijela registria, pokrenite regedt32.exe i promijenite permisije na lokaciji hkey_local_machine\sam\sam desni klik na Permissions te dodajte korisnika koji elite da pregleda unutranjost SAM baze kroz registri.

Slika 1. Pregledanje SAM baze Kao to smo rekli unutar SAM baze lozinke su hashove-ove. Hash funkcije su one-

way funkcije. to znai da vre samo enkripciju u jednom smjeru i da rezultat funkcije nije mogue dekriptovati. Iz ovog moete zakljuiti da ni windows xp ne zna koja je vaa lozinka. Za njega bitno da vi znate koja je vaa lozinka. Kada se pokuate autentificirati na


[email protected]

asist. Adel Handi


Copyright by: FIT 3

sistem, lozinka koju upiete prolazi kroz istu hasing funkciju i izlaz se uporeuje (kod hash funkcija, isti ulaz rezultira uvijek istim izlazom) i ukoliko se hash-ovi poklapaju vi ste se autenificirali na sistem.

Jedan od Windows alata koji prua dodatnu sigurnost SAM bazi je Syskey. On prua

dodatnu sigurnost tako to enkriptuje podatke unutar nje. Ova opcija u Windows-u XP je ukljuena po defaultu i ne moe se iskljuiti. Potrebno je imati u vidu da je SAM baza dodatno enkriptovana, pa tako i unutar nje hash lozinke. Klju sa kojim je ona kriptovana se nalazi u datoteci SYSTEM.

Lokacija datoteke SYSTEM je: $:\windows\system32\config\system Napomena: Na vaem Windows XP-u koristite lozinke due od 14 karaktera, jer sa

lozinkom veom od 14 karaktera se ne kreira LM (LAN Manager) hash http://en.wikipedia.org/wiki/LM_hash . Ovaj LM hash se veoma lako moe probiti brute force metodom. Takoer u Windows policy-u moete iskljuite kreiranje ovog hasha za bilo koju veliinu lozinke. Po defaultu ovaj hash se uvijek kreira. Kako bi ga iskljuili potrebno je uraditi sljedee:

1. Kliknite na Start, pa na Run, ukucajte regedit, i onda kliknite na OK. 2. Locirajte se na sljedei klju u registriju: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 3. Na Edit meniju, idi te na New, te onda kliknite na DWORD vrijednost. 4. Ukucajte NoLMHash, i pritisnite ENTER. 5. Na Edit meniju, kliknite na Modify. 6. Ukucajte 1, i zatim kliknite na OK. 7. Sada restartujte raunar, i zatim promijenite lozinku.

LM hash se sada nee vie kreirati, odnosno kreirati e se ali se neete moi

autentificirati preko njega tako da vaa lozinka nee biti podlona brute force napadu. Zapamtimo: Da bi doli do Windows lozinke, moramo nekako doi do SAM i system

datoteka koje se nalaze u $:\windows\system32\config\ direktoriju. Zatim, moraju nam se poklopiti neke stvari, tj. da je kreiran LM hash.

5.5. Ulazak u BIOS1 Prvi dio koju trebamo uraditi kako bi doli do lozinke, jeste da u BIOS-u izmjenimo

startup sekvencu. Ukolilko imamo BIOS lozinku nema nikakvih problema da startup sekvencu umjesto HDD Only postavimo tako da prvi startup ureaj bude CD-ROM. Mali problem moe nastati, ukoliko imamo BIOS lozinku, garanciju na maini koju ne smijemo otvarati, te jedan jedini OS za koji nemamo niti jednu lozinku i boot sekvencu postavljenu na HDD only. Jedini nain jeste da probamo neke od defaultnih lozinki koji proizvoai BIOS-a ostavljaju upravo da se rijei ovakav sluaj. este defaulte lozinke za visno do tipa BIOS-a su: AMI!SW, AMI.KEY, HEWITT RAND za AMI BIOS; ?award, CONDO, SWITCHES_SW, SZYX za AWARD BIOS.

Ukoliko elite da unitite garanciju ili moete da otvorite mainu nema potrebe da se

neto ekstra brinete jer je mogue forsirati BIOS da se resetuje. Ovo moete uraditi tako to ete mu izvaditi bateriju sa matine ploe na neko vrijeme ili prespojiti CMOS jumpere koji slue u svrhu resetovanja.

1 Naravno podrazumijeva se da imamo fiziki pristup maini!


[email protected]

asist. Adel Handi


Copyright by: FIT 4

Ukoliko imate mogunost logiranja na Windows XP operativni sistem sa nekim

limitiranim korisnikom, mogue je preko komande DEBUG iz DOS komandne linije restovati BIOS unoenjem odreenih parametara:

Za AMI/AWARD BIOS: 1. Kliknite na Start, pa na Run, ukucajte cmd, i onda kliknite na OK. 2. Ukucajte debug, i pritisnite ENTER. . 3. Zatim ukucajte: O 70 17 O 71 17 Q 4. Sada restartujte raunar, i probajte promijeniti startup sekvencu u BIOS-u.

5.5. Pokretanje Live LINUX CD-a Kako bi najlake doli do datoteka SAM i system sa lokacije

$:\windows\system32\config\ mi emo iskoristiti jednu od Linux LIVE CD distribucija.

Napomena: Naravno da bi doli do ovih datoteka postoje razne metode i naini. Npr ukoliko je FAT file sistem, vrlo jednostavno ih moemo kopirati iz DOS prompta. Ukoliko je NTFS file sistem, moemo iskoristiti alat kao to je NTFS4DOS kako bi montirali NTFS particiju i kopirali potrebne datoteke iz DOS prompta. Jedna od mogunosti je da moemo jednostavno, izvaditi hard disk iz raunara gdje ne znamo lozinku, zatim ga postaviti u drugi raunar gdje emo obaviti kompletan posao prebacivanja datoteka jednostavnim kopiranjem. Ovakav pristup datotekama i drugom OS-u na ovaj nain nee biti mogu kod sljedeeg Windows-a po imenu Vista. Vista e imati tehnologiju koja se naziva BitLocker, te e vri hardware-sku enkripciju diska u suradnji sa TPM (Trusted Platform Module) mikoipom na matinoj ploi.

Kako bi doli do zaboravljene administratorske lozinke, koristio sam AUDITOR Live LINUX CD baziran na Knoppix-u koji u sebi ima jo neke dodatne security alate, recimo kao to je John the Ripper alat koji e nam trebati da razbijemo LM hash iz SAM baze. Meutim, iz prethodnog dijela mogli ste saznati, da je SAM baza dodatno kriptovana sa syskey alatom i da se unutar nje ne nalaze samo LM hash-evi nego jo neke dodatne stvari. Alat BKHive e nam pomoi da izvuemo boot klju za dekriptovanje SAM baze iz system datoteke, zatim alat SAMDump koji e nam izvui korisnike naloge i LM hash, u takvoj formi kakvoj bi ih mogao razbiti bilo koji password cracker.

AUDITOR Live Linux CD moete skinuti na ovoj lokaciji : http://www.remote-exploit.org/index.php/Auditor_mirrors (670MB) Napomena: Ukoliko neko od studenta eli ovaj CD, moe se javiti meni na

fakultetu. Ovo moete uraditi sa svakom Live Linux distribucijom, i ovim gore nabrojanim alatima.


[email protected]

asist. Adel Handi


Copyright by: FIT 5

5.6. Montiranje NTFS particije na Linux sistem Nakon to smo pokrenuli Live LINUX CD, potrebno je otii u komandnu liniju. U

komandnoj liniji emo otii tako to u KDE okruenje kliknemo na ikonicu Console (lii na monitor).

Slika 2. Otvaranje komande linije

U komandnoj liniji prvo emo pregledati, koje je particije na naem disku otkrio Live Linux CD. Kako bi to uradili, ukucati emo sljedeu komandu:

cat /etc/fstab

U fstab (file system table) datoteci nalazi se kompletna lista svih diskova, particija, i naina na koji e oni biti koriteni u Linux sistemu. Kada smo pregledali fstab datoteku, disk koji nas zanima je hda (Linux oznaka za disk na primarnom IDE kanalu, koji je oznaen kao master), odnosno prva primarna particija na njemu koja je oznaena sa hda1.


[email protected]

asist. Adel Handi


Copyright by: FIT 6

Slika 3. Pregled fstab datoteke

Sljedee to emo uraditi jeste da emo montirati na na sistem NTFS particiju hda1 u direktorij /mnt/hda1. Kako bi to uradili, ukucati emo sljedeu komandu:

mount /dev/hda1 /mnt/hda1 t ntfs


[email protected]

asist. Adel Handi


Copyright by: FIT 7

EXTRA OBJANJENJE fstab i mount radi razumijevanja nee biti na testu

5.6.1 Datoteka fstab Za vrijeme boot procesa, file sistemi koji se nalaze u /etc/fstab su automatski

uitani (osim ako su izlistani sa noauto opcijom).

/etc/fstab datoteka sadri listu linija sljedeeg formata:

device /mount-point fstype options device - Ime ureaja(koje treba postojati). mount-point -Direktorij (koji bi trebao postojati), sa kojeg se uitava file sistem. fstype - Tip file sistema da bi se prolo uitavanje. Defaultni FreeBSD file sistemje ufs. options - ili rw za read-write file sistem, ili ro za read only file sistem, popraeno sa bilo kojim opcijama koje bi trebale.

Za vie informacija o naredbi fstab i opcijama koje ona sadrava Monte pogledati na manualnoj stranici fstab tako to ukucate komandu:

man fstab

5.6.2 Komanda mount

Mount komanda je zapravo ono komanda koja se koristi za uitavanje file sistema. U najosnovnijoj formi koristite:

mount ureaj takamonitranja

Ima mnogo opcija ove naredbe, ali najvanije su:

Mount opcije

-a Uitava sve datoteke izlistane u /etc/fstab. Osim onih oznaenih sa noauto, isljuenih sa t zastavicom, ili onih koji su ve uitani. -d Radi sve, osim pravog sistemskog poziva za uitavanje. Ova opcija je jako korisna u kombinaciji sa v zastavicom da bi se ustvrdilo koje uitavanje treba da se uradi. -f Forsira mountiranje neistog ili opasnog file sistema. -r Mounta samo read-only file sisteme. Ovo je isto kao i da koristite ro argument -o opcije . -t fstype Uitava file sistem kao dati tip file sitema, ili uitava jedino file sisteme datog tipa, ako se da opcija a. ufs je defaultni tip file sistema -u Update-a mount opcije file sistema -v Znai proiriti -w Mount-a file sistem read-write. -o opcija uzima listu opcija odvojenih zarezom;


[email protected]

asist. Adel Handi


Copyright by: FIT 8

5.7. Dolazak do datoteka

Nakon to smo montirali file sistem Windows-a XP na na disk, sada moemo pristupiti datotekama SAM i system. Ove datoteke emo kopirati u /ramdisk folder. Kako bi to uradili, ukucati emo sljedee komandu:

cp /mnt/hda1/WINDOWS/system32/config/SAM /ramdisk cp /mnt/hda1/WINDOWS/system32/config/system /ramdisk

Kada smo izvrili kopiranje ovih datoteka pomou BKHive alata emo izvui bootkey iz system datoteke kako bi mogli dekriptovati SAM bazu. Kako bi to uradili, ukucati emo sljedeu komandu:

bkhive-linux /ramdisk/system /ramdisk/kljuc

Slika 4. Koritenje BKhive alata Sada imamo kreiran bootkey u datoteci /ramdisk/kljuc na naem disku. Ovaj klju emo iskoristiti sa alatom SAMDump kako bi proitali sadraj i izbacili hashovanu administratorsku lozinku. Komanda koju emo ukucati je sljedea:

samdump2-linux /ramdisk/SAM /ramdisk/kljuc > /ramdisk/lozinke


[email protected]

asist. Adel Handi


Copyright by: FIT 9

Slika 5. Koritenje SAMDump alata i pregled hash lozinki

Sa slike 5 moemo vidjeti dumpove LM hashove u datoteci /ramdisk/lozinke. Sve to nam sada treba je neki od alata koji moe brute force metodom razbiti lozinku.

5.8. Brute force napad na lozinke Brute force, u najjednostavnijoj definiciji jeste testiranje svih kombinacija lozinki sve

dok se ne naie na pravu. Ova metoda se vrlo esto koristi, posebno ukoliko se posjeduje kriptovana lozinka. Obino je broj karaktera u lozinci nepoznat, no moemo pretpostaviti da je veina lozinki izmeu 4 i 16 karaktera. Kao to znamo za svaki karakter u lozinci postoji oko 100 razliitih vrijednosti koji su formirani u razliite grupe (mala slova, velika slova, brojevi i specijalni znaci). to znai da u zavisnosti od veliine lozinke to je 1004 ili 10016 kombinacija. Ukoliko se samo koriste odreene grupe (recimo mala slova) ovaj broj kombinacija se drastino smanjuje. Kao to vidimo, iako je ovaj broj kombinacija dosta velik, on je konaan, tako da su sve lozinke ranjive na brute force napad ali (vrijeme i jaina procesora koja je potrebna da se razbije odgovarajua lozinka zna biti jednostavno prevelika i neisplativa).

Prije nego to specificiramo metode koje se koriste kod brute force napada, kratko

emo samo objasniti metode enkriptovanja lozinke koje se koriste. Veina dananjih operativnih sistema koristi neki vid hash-iranja lozinke, da bi je na neki vid zamaskirali. Znai, radi ovog naina lozinke nikada na sistemu nisu spremljene u istom tekstu, tako da autentifikacijski sistem postaje jo vie sigurniji. Ukoliko neko i uspije na neki nain doi do liste lozinki nee ih moi odmah upotrijebiti, potrebno je da ih razbije .


[email protected]

asist. Adel Handi


Copyright by: FIT 10

Kada se lozinka unosi u sistem ona prolazi kroz one-way hash funkciju, i izlaz te

funkcije se snimi u hash obliku. Hash funkcije, kao to ste mogli proitati na poetku ovog workshop-a su one-way funkcije. Brute force pokuaji obino se svode na to da se nekako doe do liste korisnikih imena i hash-ovanih lozinki, te se za tim testiraju sve mogue lozinke koristei istu hash funkciju i usporeuju se izlazi. Ukoliko se nae poklapajui hash smatra se da je lozinka razbijena. Ovakav nain upravo mi koristimo u ovim vjebama. Alat sa kojim emo brute force metodom razbiti ovaj LM hash je John the ripper. Komanda koju emo ukucati je sljedea:

john i:LanMan /ramdisk/lozinke

Napomena: Ukoliko ste primijetili unutar datoteke lozinke nalaze nam se i informacije za korisniki nalog HelpAssistent, njega mi trebalo izbrisati prije kucanja gornje komande. On nas uopte ne zanima u ovom sluaju. Opcija i:LanMan, govori da vri inkrementalno razbijanje lozinke i da se radi o LM (Lan Manager) hash-u. Nakon vremena od 4 minuta John the ripper je uspio pronai lozinku. Sada moemo resetovati sistem izvaditi Live Linux CD i logirati se kao administrator na na Windows XP operativni sistem. Zaboravljena lozinka i trenutak blokade je iza nas, im smo vidjeli koja je to ustvari lozinka bila. Sa ovim smo zavili sa Windows XP workshopom i lagano prelazimo na Linux, kao to ste mogli vidjeti u prikazanom dosta linux komandi smo korisitili. U meuprostoru izmeu Windows-a XP i Linux-a upoznati emo se sa nadolazeim Windows OS-om Vista.

Sljedei dio: Windows Vista

uos 5dio winxp troubleshooting w 2005 06

Documents