Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Windows (https://forum.antichat.xyz/forumdisplay.php?f=42)

- - Sam + System (https://forum.antichat.xyz/showthread.php?t=28650)

qPhoenix

07.12.2006 14:02

Sam + System

Собсно проблема вот в чем: качнул шеллом SAM и SYSTEM из %SystemRoot%\Repair\ , расбрутил, но пассы не подошли, затем взглянул на дату... (май 2005го)
Попытался стянуть свеженькие из %SystemRoot%\System32\config\ , и естесно не получилось, файлы используются...

Можно ли как-нить стянуть текущие SAM и SYSTEM имея только Шелл с рутовыми правами?

madnet

07.12.2006 14:11

"Шелл с рутовыми правами" на Win тачке это как?

qPhoenix

07.12.2006 14:17

)) ну типа могу тварить с файлами все, что душа пожелает...

З.Ы. Не придирайся к словам.. :d

madnet

07.12.2006 14:41

Ну если ты можеш тварить все что тебе угодно, то установи Vnc или Radmin

qPhoenix

07.12.2006 15:27

Ставил РАдмин, все гуд, запускается, порт открывается, но законнектиццо немогу... Виндовый фаервол поидее отключен (на попытку добавить правило кричит: "Служба не запущена."), но наставлена куча Symantec-овых муток... и то не факт, что на выходе из ждущего режима там не стоит защита паролем...
так что в идеале - хотел бы стащить нормальные САМ и СИСТЕМ...

madnet

07.12.2006 15:45

Если у тя, как ты сказал "рутовые права" выгрузи семантику.

-=lebed=-

07.12.2006 17:41

Файлы Sam и System залочены и от Администратора и от пользователя с правами System вытащить их можно ИМХО только под другой системой...

Asad	07.12.2006 17:53

Или я вопрос не понял, но систем и сам можно вытащить мона с прогой MPR (multi password recovery)

madnet

07.12.2006 18:41

MPR работает только с копиями типа Repair, а коль они устарели, то с рабочей системы врятли ты их вытянеш, да и вообще, вопрос такой зачем они, если у тебя достаточно прав?

madnet

07.12.2006 18:44

Ответ на твой удаленный пост

wspsrv.exe 5340 fwsrv - Помойму это ядро фаервола
nod32krn.exe 5052 NOD32krn - Нод может то же килять твой радмин, хотя в роде он нормально загрузился

AHTOLLlKA

08.12.2006 08:46

http://wasm.ru/pub/21/files/lockfileswork/samcopy.rar
Пример копирования SAM с помошью изменения прав доступа в таблице хэндлов

http://wasm.ru/pub/21/files/lockfileswork/RawRead.rar
Пример чтения SAM с помошью прямого доступа к тому

пробуй, взято с васма =)
http://wasm.ru/article.php?article=lockfileswork
by ms-rem =)

qPhoenix

08.12.2006 18:34

madnet
Попрпобовал позавершать, но они грузятся заново... внизу списка с новым ПИДом... кста, я ваще правильно делаю: "taskkill /f /pid 364 /t" ? :rolleyes:
а ваще не принципиально добить именно этот сервак, такого рода шеллов есть штук 10 с работающим РАдмином и проблема состоит в том, что при выходе из ждущего режима требует авторизацию.. :( Так что хотелось бы сакцентироваться на расшифровке паролей =)

AHTOLLlKA
Проверял эти темы? бо у мну даж на локале не пашет..
пытался разобраться в коде, но С ваще не знаю =)

slider

08.12.2006 20:52

У кого то сработало???

AHTOLLlKA

11.12.2006 09:10

Цитата:

Сообщение от qPhoenix

Проверял эти темы? бо у мну даж на локале не пашет..
пытался разобраться в коде, но С ваще не знаю =)

у меня локально пашет=)
а если попробовать поднять RDP и добавить юзера потом подключицо =/

Время: 16:51