чота погуглил немного и не увидел ответа - значит теперь будет индексироваться эта тема, если кто-нибудь ответит
Предмет вопроса:
на разрешенной к удаленному управлению машине стоит логин Administrator и пасс password.
При извлечении хэшей паролей пользователей через LSASS\Sheduler программой SAM Inside (последняя версия) - показывает, что у юзера Administrator пасс <Empty>
При этом рядом с ним мой акк test с цифропассом - и его NT\LM хэши определяются совершенно корректно.
Вопрос:
1. как это делать (прятать хэши)?
2. как все же можно добыть нужные хэши?
Уточню:
-зачем мне нужны хэши от и без того известного пасса?
-затем, что рядом с акком Administrator есть еще 1 акк с <Empty> пассом, для которого требуется провести аудит безопасности пароля.
На всякий случай:
Код:
Administrator:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C089C0
Hidden:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0
test:8B978B292F98B26B25AD3B83FA6627C7:9C82ED0281CC8F93ECD0C785A5771481
у юзера test пасс "подбирается" и определяется корректно.
При этом пасс аккаунта Administrator так же заранее известен - password
ps.
на аккаунт Hidden зайти без пароля, с "любым" паролем, или же с паролем <Empty> - невозможно, равно как и на акк Administrator.
Так же к аккаунту Hidden не подходит и пароль password, который подходит к аккаунту Administrator.
И при этом всем хэши паролей от обоих аккаунтов якобы равны, что вероятнее всего просто говорит о том, что их не удалось извлечь.
Тем не менее вопросы "почему?" и "что делать" - остаются
ps2. хэши пользователей извлекал из-под аккаунта Administrator, потому вариант "недостаточно прав" будет звучать неубедительно.
Оба акка - Hidden и Administrator - состоят только в группе Administrators, т.е. имеют равные права, и акков с более высокими правами в системе нет.
Да и вообще в системе всего 3 акка - эти 2, мой тестовый, и 2 отключенных дефолтных, у которых в любом случае не было бы никаких прав.
RDP <Empty> pass
Древовидный вид