LSA (Local Security Authority) được lưu trữ trong Registry của máy tính. Nó có thể chứa mật khẩu RAS/VPN, mật khẩu tự động đăng nhập và những mật khẩu khác của hệ thống. Nó được lưu tại khóa:
HKEY_LOCAL_MACHINE\ SECURITY\Policy\LSA\Secrets.
Password Dumping là hình thức tấn công vào LSA nhằm thu được các mật khẩu trên.
Mục đích kiểm tra
Nhằm kiểm tra có thể lấy được mật khẩu từ LSA trên hệ thống hay không?
Quy trình kiểm tra
+ Chạy LSA dump trên máy mục tiêu. C:\> lsadump $machine.acc \\target Q a V m k A 3 F
+ Hoặc sử dụng công cụ LSASecretsView.
Công cụ kiểm tra
+ LSA dump. + LSASecretsView.
2.12.17. Tấn công DLL injectionMô tả Mô tả
Đây là một ứng dụng, loại bỏ mật khẩu băm từ cơ sở dữ liệu của NT SAM, có hoặc không SYSKEY được kích hoạt trên hệ thống. Đầu ra có thể được sử dụng như đầu vào cho l0phtcrack, hoặc sử dụng Samba. Theo mặc định người quản trị viên có quyền này, do đó, chương trình này không thỏa hiệp bảo mật NT nhưng trong trường hợp kẻ xâm chạy nó cùng với một số khai thác khác (ví dụ IIS) và sẽ nhận được mật khẩu cho tất cả người sử dụng trên hệ thống. Bẻ khóa hàm băm chỉ là vấn đề thời gian.
Các phiên bản mới, pwdump3 có khả năng nhận được các hàm băm thông qua mạng và có thể làm điều đó có hoặ không việc cài đặt syskey.
2.12.17.1. Sao chép pwdump2.exe và samdump.dll trong thư mục của máy mục tiêu 2.12.17.2. Chạy pwdump2.exe và trực tiếp đưa ra một tệp tin dạng TXT
2.12.17.3. Sử dụng tệp tin dạng văn bản đưa vào l0phtcrack để chứa mật khẩu.
Ví dụ/ kết quả
c:\pwdump2> pwdump2.exe >password.txt
Phân tích/ kết luận/ quan sát
Pwdump là một cách tốt nhất để kiểm tra hệ thống mật khẩu yếu trên hệ thống.
Công cụ
pwdumpX
Biện pháp đối phó
+ lưu trữ cơ sở dữ liệu SAM trên một phương tiện truyền thông an toàn có thể được sử dụng tại thời điểm khởi động hệ thống.
+ Cài đặt Syskey