Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI

KiadtaViktor Juhász Megváltozta több, mint 10 éve

Hasonló előadás

Az előadások a következő témára: "Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI"— Előadás másolata:

1 NTDS.DIT offline hashdump, avagy a meztelen igazság a domaines jelszótárolásról

2 Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI

3 NTDS.DIT? Active Directory elsődleges adattároló állománya
Helye: %WINDOWS%\NTDS\ntds.dit Mit tartalmaz Az összes AD-ben tárolt objektumot Felhasználók Csoportok Jogosultságok

4 Hogyan juthatunk hozzá?
Volume Shadow Copy Online forensic pillanatkép DC kikapcsolas + masolas

5 NTDS.DIT felépítés Táblák datatable (AD objektumok és attribútumaik)
linktable (hivatkozások pl.: memberof) sdtable (security descriptors /Server 2003 óta/)

6 NTDS.DIT felépítés 2 A schema-ban leírt összes tulajdonság megtalálható minden objektum-rekordban (csak nincs kitöltve) emiatt akár több ezer mezőből is állhat egy rekord Attr 1 Attr 2 Attr 3 Obj 1 1 2 null Obj 2 3

7 Hol tárolódnak a jelszavak?
A jelszó hash-eket a datatable tárolja Érdekesebb user attribútumok ATTm3 – SAMAccountName ATTm13 – Description ATTk – SID ATTk – Titkosított LM hash ATTk – Titkosított NT hash ATTk – Titkosított NT PWD history ATTk – Titkosított LM PWD history ATTk – Titkosított PEK

8 Hash titkosítás A jelszó hash-ek titkosítva tárolódnak
Standard algoritmusok (RC4, MD5, DES) A titkosító kulcs (PEK) tartományonként különbözik, megtalálható az NTDS.DIT állományban (szintén titkosítva a bootkey segítségével)

9 Dekriptálás menete Bootkey kinyerése a registryből PEK dekriptálás
Jelszó hash dekriptálás PEK-el Jelszó hash dekriptálás DES-el

10 PEK dekriptálás md5=MD5.new() md5.update(bootkey) for i in range(1000): md5.update(enc_pek[0:16]) rc4_key=md5.digest(); rc4 = ARC4.new(rc4_key) pek=rc4.encrypt(enc_pek[16:]) return pek[36:]

11 Jelszó hash dekriptálás
md5 = MD5.new() md5.update(pek) md5.update(enc_hash[0:16]) rc4_key = md5.digest(); rc4 = ARC4.new(rc4_key) denc_hash = rc4.encrypt(enc_hash[16:]) (des_k1,des_k2) = sid_to_key(rid) d1 = DES.new(des_k1, DES.MODE_ECB) d2 = DES.new(des_k2, DES.MODE_ECB) hash = d1.decrypt(denc_hash[:8]) + d2.decrypt(denc_hash[8:]) return hash

12 Jelszó history Miért fontos a vizsgálata Hol tárolódik
Jelszóválasztási minta keresése LM hashek Hol tárolódik Az ATTk és ATTk attribútumokban tárolódik Egymás után másolva (titkosítva) Külön-külön kell dekriptálni őket

13 Jelszó history dekriptálás
Bootkey kinyerése a registryből PEK dekriptálás History dekriptálás PEK-el Jelszó hash-ek dekriptálás egyenként DES-el

14 DEMO

15 Köszönöm a figyelmet!

Letölteni ppt "Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI"

Hasonló előadás

Hitelesítés és tanúsítványkezelés

Hitelesítés és tanúsítványkezelés
Access Adatbáziskezelés

Access Adatbáziskezelés
Module 10: Supporting Remote Users távoli felhasználó támogatása.

Module 10: Supporting Remote Users távoli felhasználó támogatása.
IPSec.

IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET 2012.03.06.

Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.

Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.

2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Miről lesz szó?  Office Add-in for Moodle  Microsoft Live Service Plugin for Moodle  Moodle SharePoint integráció.

Miről lesz szó?  Office Add-in for Moodle  Microsoft Live Service Plugin for Moodle  Moodle SharePoint integráció.
Active Directory.

Active Directory.
15. tétel Adatbázis felhasználói és jogosultságaik

15. tétel Adatbázis felhasználói és jogosultságaik
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.

2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
1 Informatikai Szakképzési Portál www.itszp.hu Adatbázis kezelés DCL – Adatvezérlő nyelv.

1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.
Hálózati architektúrák Novell Netware. Történet 1983/85: Netware első fájl-szerver LAN OS saját hálózati protokoll: IPX/SPX 1986: Netware v2.x telepítőkészlet.

Hálózati architektúrák Novell Netware. Történet 1983/85: Netware első fájl-szerver LAN OS saját hálózati protokoll: IPX/SPX 1986: Netware v2.x telepítőkészlet.
Hálózati Operációs Rendszerek

Hálózati Operációs Rendszerek
Active Directory Schema

Active Directory Schema
Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás.

Telepítés előtt, közben Hitelesítés, loginok Sémák Végrehajtási környezet AuditálásTitkosítás.
IEEE1394, avagy közvetlen kapcsolat az agyba. Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI

IEEE1394, avagy közvetlen kapcsolat az agyba. Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.

Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Adatbázis-kezelés.

Adatbázis-kezelés.
FSMO –Egyedi szerepkörök a címtárszolgáltatásban Ezeket a szerepköröket csak egy tartományvezérlő tudhatja magáénak; alapértelmezettként az első, de átadható.

FSMO –Egyedi szerepkörök a címtárszolgáltatásban Ezeket a szerepköröket csak egy tartományvezérlő tudhatja magáénak; alapértelmezettként az első, de átadható.

Hasonló előadás

Google Hirdetések