преди 43 минути, Rudy M. написа:

И резултатът е - нищо: 

И аз к'во да направя? При мен работи...вижда се на на шотовете.

Нищо не искам да правиш . Просто да знаеш, че не навсякъде работи.

Е, от 4-5 инструмента все един ще покаже истината.
Затова се зарежда кобуръ с дублиращи се по функционал инструменти - да има...

на 6.10.2023 г. в 0:35, Deus_Group написа:

Айде от мен да мине. Мн лалажии...

@Т.Христов

Да подразбирам, че паролата която си сложил, и тоя стар компютър е твоя собственост и/или имаш разрешение?!! 
Целта на упражнението е с учебна цел, бла БЛА бла БЛа и т.н.т

Тъй като, не знам дали ще успееш да стигнеш до хеша на паролите и дали си способен да ги извлечеш и изведеш в разбираем вид...
Можеш да пробваш следното:
1.Намираш библиотеката длл файл "mimilib.dll" и я копираш в следната папка в уиндолс- C:\Windows\System32\ 
- трябва да имаш разрешение да копираш там, има вероятност Windows Defender-a да лапне файла,по-добре му задай изключение. Имам го файла мога да го споделя но по-добре да го свалиш от някой сайт с отворен код .

2. Отваряш cmd или powershell и добавяш SSP provider (Security Support Provider) със следния регистър:

 reg add "HKLM\System\Currentcontrolset\Control\lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
4. Рестарт.
3. После като се логнеш потребителските имена и пароли ще са записани kiwissp.log файла.
Отваряш poweshell и: PS C:\Windows\system32> Get-Content C:\Windows\System32\kiwissp.log и ще ти се покажат в разбираем вид "cleartext"!

Разбира се трябва да си с локален акаунт, не с онлайн акаунт Active Directory!
Няма как да знам с кой фийчър ъпдейт, версия на Windows 10 или секюрити пач си.Тъй като може да е пачнато.Ако не стане?! 
Добави ръчно регистър: път - HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest , дясно копче DWORD, име UseLogonCredential ,стойност  1.

Успех!

 

 

Боричкам се вече половин ден. Опитвам се да използвам този mimilib.dll , но Дефендера все го изтрива, макар че инсталирах още една антивирусна!

Има ли начин напълно да спра проклетия Дефендер???

Що се мъчиш по труден начин, като можеш да ползваш лесен?

преди 8 минути, цър-вул написа:

Що се мъчиш по труден начин, като можеш да ползваш лесен?

 

Кой е лесния ? По твоя - не стана...

Кой той моя - предложих три инструмента. Плюс инструмент за паролите в хром.
А за да не ти глътва дефендъра dll файла, първо спри защита на дефендъра в реално време. След това добави файла в изключенията на дефендъра.

на 6.10.2023 г. в 22:45, Т.Христов написа:

 

@Deus_Group, компютъра е мой. Утре ще опитам тази техника. После ще пиша тук.

Засега 10х.

К'во стана не бачка, пачнато ли е, или не си пробвал?

Достигане до credentials на всички потребители и хеша на паролите мимикатз LSA.

Само , че дори и да пробваш и подбереш правилния ддл за съответната версия едва ли ще достигнеш до тях най-вероятно да ти даде handle error дори и със администратор и БЕз NT AUTHORITY\SYSTEM!

С първия рандом хаш кракер и убита парола за демонстрацията изведе хеша мигновенно.
Ти ако си сложил няква дълга парола тия безплатните не'ма ти свършат работа и има да хешваш, хешваш....
Добре , че не си  мн на зор .

 

преди 2 часа, цър-вул написа:

Кой той моя - предложих три инструмента. Плюс инструмент за паролите в хром.
А за да не ти глътва дефендъра dll файла, първо спри защита на дефендъра в реално време. След това добави файла в изключенията на дефендъра.

 

- Nirsoft- не ги показа всичките

- DecryptAutoLogon.exe - даде грешка

- пак на Nirsoft - пак не са всичките

 

Спрях всички радиобутони на Дефендера - пак яде dll и sys файловете!

Абе, ресетвай я тази парола, слагай нова и си в джаза.
Не знам как ги правите тия неща - с последно издание на Виндолз съм и всички инструменти работят и си показват коректно инфо. 

преди 44 минути, цър-вул написа:

Абе, ресетвай я тази парола, слагай нова и си в джаза.
Не знам как ги правите тия неща - с последно издание на Виндолз съм и всички инструменти работят и си показват коректно инфо. 

 

Най-отгоре написах - като я резетна - паролите от Хрома изчезват!!!

1. Направете експорт на паролите от Гугъл Хром ЕТО ТАКА

2. Направете ресет на паролата на ОС

3. Ако е необходимо, направете импорт на паролите в Гугъл Хром ЕТО ТАКА

Ще отнеме 10 минути. Успех !

chromepassview не ги ли вижда?
Синхронизация с акаунта в облака няма ли?

преди 1 час, 2249 написа:

1. Направете експорт на паролите от Гугъл Хром ЕТО ТАКА

2. Направете ресет на паролата на ОС

3. Ако е необходимо, направете импорт на паролите в Гугъл Хром ЕТО ТАКА

Ще отнеме 10 минути. Успех !

 

Не мога да направя експорт - иска ми паролата на юзера. Това е цялата гимнастика.

преди 1 час, цър-вул написа:

chromepassview не ги ли вижда?
Синхронизация с акаунта в облака няма ли?

 

Вижда, но не всичките. Някъде има дупки.

Няма синхро.

Трябва да намеря паролата на юзъра.

Не съм преглеждал всички известия и съм пропуснал...

преди 5 часа, Т.Христов написа:

 

Боричкам се вече половин ден. Опитвам се да използвам този mimilib.dll , но Дефендера все го изтрива, макар че инсталирах още една антивирусна!

Има ли начин напълно да спра проклетия Дефендер???

Има да. Ползвам последна версия от майкрософт с напълно скопен изрязан и нефункционален дефендър, тъй като не намирам лично смисъл от него.
За да го спреш напълно са нужни по-вече от две команди и цял скрипт, бих ги написъл обаче после ще трябва и да пиша за да го пуснеш.
Вече са ти писали да спреш Real Time Protection. Колкото и радио бутони от GUI да спираш пак ще яде файловете.
Споменах за изключенията, създай папка Add an exclusion и като го лапне го върни от карантината. 
 

Освен това са ти постнали и инструмент на SecXploaded - Windows Autologin Password Dumper и той ли файлва ?

преди 9 часа, B-boy/StyLe/ написа:

Виж и инструментите от SecurityXploaded:

https://securityxploded.com/windows-autologin-password.php

 

преди 19 минути, Deus_Group написа:

Вече са ти писали да спреш Real Time Protection. Колкото и радио бутони от GUI да спираш пак ще яде файловете.
Споменах за изключенията, създай папка Add an exclusion и като го лапне го върни от карантината. 

Има лек вариант за добавяне в изключения (интегрира се в контекстното меню на папки и файлове в Windows explorer)
https://www.sordum.org/10636/defender-exclusion-tool-v1-3/
 и за спиране на Defender - трябва първо да се спре Tamper Protection:
https://www.sordum.org/9480/defender-control-v2-1/

Гледай първо как НЕ СЕ спира... (ирония)

А иначе :

Set-MpPreference -DisableRealtimeMonitoring $true

Set-MPPreference -DisableTamperProtection $true

преди 44 минути, Deus_Group написа:

А иначе :

Set-MpPreference -DisableRealtimeMonitoring $true

Set-MPPreference -DisableTamperProtection $true

Маалко си изтървал да му напишеш, че това се изпълнява в Powershell (Admin)...  
99% гаранция, чее не знае.

 

преди 1 час, цър-вул написа:

Маалко си изтървал да му напишеш, че това се изпълнява в Powershell (Admin)...  
99% гаранция, чее не знае.

 

на 6.10.2023 г. в 0:35, Deus_Group написа:

Отваряш poweshell и: 

 

Едва ли е нужно... ще се сети.
Не е задължително може и от cmd ако щеш и от bash, да не споменавам meterpreter че е друга бира.Олях се с тая тема вече, уш нямаше да пиша спирам... ама "врачки" взеха да му препоръчват.

Стартирах шела като админ, но на втория ред даде грешка-

Нормално да ти даде оперейшън фейлд. След дъжд качулка... Ти и като админ ппц не можеш да спреш услугите  на дефендър от services тъй като са защитени.

преди 9 часа, Deus_Group написа:

 

За да го спреш напълно са нужни по-вече от две команди 

 

 

преди 3 минути, Deus_Group написа:

да ти даде оперейшън фейлд

Ко каза̀, ко? Така подавайки на ден по лъжичка скоро и бързо ще се реши проблемът...  

преди 11 минути, цър-вул написа:

Ко каза̀, ко? Така подавайки на ден по лъжичка скоро и бързо ще се реши проблемът...  

Не видя ли, с червени букви какво му връща... Operation failed. Не трябваше ппц да изключва всичко. Едно нещо в следствие на друго води до трето и накрая съвсем ще се обатачат нещата. RFM is golden tip.

 

преди 3 часа, цър-вул написа:

 ще се реши проблемът...  

С комплексен подход, а той е да:
Намери 3rd party програма която ще успее да извлече паролите от регистрите или паметта декриптира и поднесе!
Намери програма код който с функция да накара операционната система да декриптира паролите и съответно изведе!
Намери начин,код/екплойт уязвимост при който някакси се добиват паролите в клеартекст!
Аз съм предложил подобен вариант с WDigest само че не е актуален и сиг е пачнат друг е въпросът дали може да се форсне някак си..

Програмата която си предложил и грешката която му излиза "LsaRetrievePrivateData" и начина на извличане,предполагам има общо с: 
и функциите LsaRetrievePrivateData,LsaStorePrivateData

на 5.10.2023 г. в 14:47, Т.Христов написа:

на един стар компютър бях сложил с AutoLogon да влиза автоматично с паролата

LsaStorePrivateData function -
https://learn.microsoft.com/en-us/windows/win32/secauthn/protecting-the-automatic-logon-password

Тhe password is encrypted in the registry as an LSA secret
Where are LSA secrets stored?
LSA secrets are stored in an encrypted form in the Windows registry.

Коментарът на Teemo също е на място.
 

на 5.10.2023 г. в 18:54, Teemo написа:

HKEY_LOCAL_MACHINE/ Security/ Policy/ Secrets

Декриптиране на Local Security Authority LSA Secrets от регистрите 2012 старо
https://devblogs.microsoft.com/scripting/use-powershell-to-decrypt-lsa-secrets-from-the-registry/

nishang Powershell script github 2021 novo
https://github.com/samratashok/nishang/blob/master/Gather/Get-LSASecret.ps1

@Т.Христов

Провери за всеки случай в регистрите си следния път, дали няма случайно параметър "DefaultPassword" и някъв "String".
И ако нямаш дали ако се сложи няма да байпасне Chrome за досъпа до паролите.Би било твърде лесно и глупаво но все пак...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Чеерс

И 'що толко' сложно като може просто да си пусне синхронизацията с Google, да изчака 1-2 часа, да ресетне паролата, да изчака още час-два и ще си има достъпа до паролите на хром, защото ще има нова парола за вписване в Windows профила и синхронизирани с облака пароли.