Maitre newsoft à de quoi être content. Bon article, l’approche du hook de la fonction est très bonne et fait gagner pas mal de temps de reverse. Pour le debug privilege, bah une petit local privilege escalation suffit ;).
3.
Taron | juillet 25th, 2008 at 23:34
Très intéressant, surtout par rapport au gain de temps lorsqu’on doit dumper la SAM (encore faut-il avoir des tâches planifiées !).
Ici on retrouve bien la taille de la string mais sur 4 bytes (ou alors la MaximumLength=0) et puis ensuite on doit avoir un pointeur sur une string unicode donc ce c’est pas ça.
[...] Et oui … Me revoilà ! Quoi de neuf ? Ben le BTS c’est fini, je l’ai obtenu avec 16.7 de moyenne, il n’y pas de quoi sans réjouir (j’avoue que 20/20 en math ca m’a fait plaisir). Je n’ai pas beaucoup programmé durant cette année en dehors des cours, mais pendant ceux-ci, j’ai développez un projet de fin d’année qui consistai à extraire les objets en mouvement devant une caméra. Je ne publierai pas ce code, car les prochaines promos auront surement ce sujet et je ne voudrai pas leur donner tout fait ! Pour ceux que ca intéressent, n’hésitez pas à me contacter. En ce moment, je me penche sur le projet Singularity de Microsoft. Pour ceux qui n’en n’ont vraiment pas entendu parler, il s’agit d’un prototype de système d’exploitation conçu par une équipe de recherche Microsoft. L’équipe de recherche a publié des designs notes qui se trouvent dans le RDK de Singularity 1.1. Je vais essayez d’écrire un article pour chaque design note et vous exposes les différentes choses que l’on apprend. A part ca, je vous conseille toujours le blog de l’autre fou, j’ai nommé Ivanlef0u ! Notamment son dernier post qui m’a énormément plus : http://www.ivanlef0u.tuxfamily.org/?p=173 [...]
Correction d’un bug à la con dans les sources, j’avais mit WCHAR pour la champ PassLen de la JOB_CREDENTIALS alors que c’est ULONG, mauvais C/C et oublier de tester après, toutes mes escuses. J’ai update les sources sur le repo.
Update des sources et binaires de TaskPwdDump sur le repo. Gestion de Windows server 2003 !
15.
Tester | octobre 28th, 2008 at 11:26
Ca marche terrible !
Merci bcp.
16.
SacRoyale | octobre 30th, 2008 at 15:02
You say the SID is one of the values used for calculating the encryption key – Can you confirm if MAC address is another one of the values used in the encryption key calculations? Any other info on these boring details would be much appreciated. Thanks.
Yo,
I didn’t see the computer MAC used for key calculation. In fact in schedsvc!ComputeCredentialKey you can see the computer’s name and account sid are used. All is these args are passed to MarshalData which seems to used Windows crypto API for MD5 (AlgId 0×00008003). This MD5 is used for decrypting the credentials with an RC2 algorithm.
@Nicosoft
Thx ! C’est juste qu’il faut être admin pour avoir accès au process qui nous intéresse afin d’y injecter une DLL. Il te renvoie quelle erreur ?
21.
Nicosoft | février 26th, 2010 at 23:33
Error with OpenProcess : 5
Error with EnumProcessModules : 6
Task Scheduler svchost pid is : 0
Dll to inject : C:\Admin\Bin\TaskPwdDmpDll.dll
Injecting DLL in process : 0
Error with OpenProcess : 87
Error while injecting Dll ! Exiting
@Nicosoft
Apparemment il manque un droit pour que ma fonction GetTaskServerPid() fonctionne correctement. En tout cas elle n’arrive pas à trouver le processus svchost qui nous intéresse lorsqu’on est power user sous 2k3. Tu peux faire un : accesschk.exe -p svchost.exe -f ( http://live.sysinternals.com/accesschk.exe )
22 Comments
1. santabug | juillet 25th, 2008 at 16:25
Très instructif !
Thx.
2. mxatone | juillet 25th, 2008 at 19:18
Maitre newsoft à de quoi être content. Bon article, l’approche du hook de la fonction est très bonne et fait gagner pas mal de temps de reverse. Pour le debug privilege, bah une petit local privilege escalation suffit ;).
3. Taron | juillet 25th, 2008 at 23:34
Très intéressant, surtout par rapport au gain de temps lorsqu’on doit dumper la SAM (encore faut-il avoir des tâches planifiées !).
Thx
4. newsoft | juillet 26th, 2008 at 10:56
Good game, la communauté du pentest te dit merci
PS. Login et Pass, ne sont-ce pas des UNICODE_STRING tout simplement ?
5. admin | juillet 26th, 2008 at 13:18
Nan pour une UNICODE_STRING on a :
Ici on retrouve bien la taille de la string mais sur 4 bytes (ou alors la MaximumLength=0) et puis ensuite on doit avoir un pointeur sur une string unicode donc ce c’est pas ça.
6. b0l0k’s blog »&hellip | juillet 27th, 2008 at 00:01
[...] Et oui … Me revoilà ! Quoi de neuf ? Ben le BTS c’est fini, je l’ai obtenu avec 16.7 de moyenne, il n’y pas de quoi sans réjouir (j’avoue que 20/20 en math ca m’a fait plaisir). Je n’ai pas beaucoup programmé durant cette année en dehors des cours, mais pendant ceux-ci, j’ai développez un projet de fin d’année qui consistai à extraire les objets en mouvement devant une caméra. Je ne publierai pas ce code, car les prochaines promos auront surement ce sujet et je ne voudrai pas leur donner tout fait ! Pour ceux que ca intéressent, n’hésitez pas à me contacter. En ce moment, je me penche sur le projet Singularity de Microsoft. Pour ceux qui n’en n’ont vraiment pas entendu parler, il s’agit d’un prototype de système d’exploitation conçu par une équipe de recherche Microsoft. L’équipe de recherche a publié des designs notes qui se trouvent dans le RDK de Singularity 1.1. Je vais essayez d’écrire un article pour chaque design note et vous exposes les différentes choses que l’on apprend. A part ca, je vous conseille toujours le blog de l’autre fou, j’ai nommé Ivanlef0u ! Notamment son dernier post qui m’a énormément plus : http://www.ivanlef0u.tuxfamily.org/?p=173 [...]
7. Neitsa | juillet 28th, 2008 at 16:39
Salut,
Bravo Ivan, encure une fois, très intéressant et superbement mené, comme d’hab’
8. admin | juillet 28th, 2008 at 16:55
<3 Neitsa et les autres.
9. admin | juillet 30th, 2008 at 23:38
Correction d’un bug à la con dans les sources, j’avais mit WCHAR pour la champ PassLen de la JOB_CREDENTIALS alors que c’est ULONG, mauvais C/C et oublier de tester après, toutes mes escuses. J’ai update les sources sur le repo.
10. newsoft | juillet 31st, 2008 at 09:11
Ah c’est pour ça que ma démo client a lamentablement échoué …
11. nicolasfr | août 14th, 2008 at 12:03
Waou! J’ai trouvé ton blog en lisant celui de newsoft. Impressionant.
PS: Je ne vois pas de mail de contact, à quelle adresse peut-on t’écrire?
12. admin | août 14th, 2008 at 12:13
Yo, tu peux me contact à l’adresse ivanlef0u@security-labs.org
13. kinsk | août 22nd, 2008 at 12:26
Superbe.
C’est sympa un article comme ça, j’ai presque l’impression de comprendre ça change…
Bravo pour tes travaux.
14. admin | août 22nd, 2008 at 16:57
Update des sources et binaires de TaskPwdDump sur le repo. Gestion de Windows server 2003 !
15. Tester | octobre 28th, 2008 at 11:26
Ca marche terrible !
Merci bcp.
16. SacRoyale | octobre 30th, 2008 at 15:02
You say the SID is one of the values used for calculating the encryption key – Can you confirm if MAC address is another one of the values used in the encryption key calculations? Any other info on these boring details would be much appreciated. Thanks.
Excellent work on the dumper!
17. admin | novembre 1st, 2008 at 13:20
Yo,
I didn’t see the computer MAC used for key calculation. In fact in schedsvc!ComputeCredentialKey you can see the computer’s name and account sid are used. All is these args are passed to MarshalData which seems to used Windows crypto API for MD5 (AlgId 0×00008003). This MD5 is used for decrypting the credentials with an RC2 algorithm.
18. xort | avril 22nd, 2009 at 21:51
Nice read
19. Nicosoft | février 26th, 2010 at 02:02
Avé !
Bel article … assez, comment dire …
!
intriguant
Dump ok en tant qu’admin.
Dump pas ok en tant qu’utilisateur lambda et même en tant qu’ « Utilisateurs avec pouvoir » (serveur 2003 membre)
Alors ? y a ty quand même un trou dans la carlingue 2mi3 zerveur ?
@+
20. admin | février 26th, 2010 at 20:28
@Nicosoft
Thx ! C’est juste qu’il faut être admin pour avoir accès au process qui nous intéresse afin d’y injecter une DLL. Il te renvoie quelle erreur ?
21. Nicosoft | février 26th, 2010 at 23:33
Error with OpenProcess : 5
Error with EnumProcessModules : 6
Task Scheduler svchost pid is : 0
Dll to inject : C:\Admin\Bin\TaskPwdDmpDll.dll
Injecting DLL in process : 0
Error with OpenProcess : 87
Error while injecting Dll ! Exiting
22. admin | février 27th, 2010 at 19:22
@Nicosoft
Apparemment il manque un droit pour que ma fonction GetTaskServerPid() fonctionne correctement. En tout cas elle n’arrive pas à trouver le processus svchost qui nous intéresse lorsqu’on est power user sous 2k3. Tu peux faire un : accesschk.exe -p svchost.exe -f ( http://live.sysinternals.com/accesschk.exe )
Trackback this post