Título: Olfateando contraseñas en sistemas Microsoft

Autor: DDiego (diegorbaATyahoo.es; ddiegoATdisidents.org)

Temática: Seguridad/Contraseñas
Plataforma: Windows
Fecha: 21/04/2008
Licencia: Este documento es propiedad de Disidents, su distribución/modificación
siempre esta limitada a la autorización explicita del autor o de la organización. En
general siempre que no se modifique el contenido ni se elimine esta cabecera la
distribución esta autorizada, salvo que Disidents o el autor indiquen lo contrario.
Fuente: http://www.disidents.org
Ezine: Disidents 9

1.0- Introducción
2.0- ¿Que necesito para empezar?
3.0- Ophcrack
3.1- Averiguando las contraseñas en Local con Ophcrack
3.2- Descrubriendo contraseñas de forma remota
4.0- Contramedidas
4.1.0- Seguridad de contraseñas.
4.1.1- Longitud de contraseña.
4.1.2- Generador de passwords en Windows.
4.2- Almacenamiento de claves en un disco de inicio o llave usb:
5.0- Probando sobre un Windows XP SP2, con sus posibles problemas que se nos
pueden plantear para acceder a recursos compartidos especiales “admin$”.
6.0- Más contramedidas, para evitar robos de contraseña de forma remota.
6.1.- Modificar el registro para que no nos comparta los recursos especiales cada
vez que iniciamos el PC.
6.2.- Denegando el acceso al equipo desde la red.
7.0- Protegiendo nuestras contraseñas.
7.1.- Deshabilitando LAN Manager.
7.2.- Jugada Maestra
8.0- Averiguando contraseñas con LM desactivado, pero aceptando NTLM.
9.0- No tengo dinero para comprar ni media tabla. Pues llamemos a CAIN que
invita!
9.1.- Descargando tablas rainbow.
9.2.- Creando tablas rainbow con Winrtgen.
10.0.- Haciendo uso de Cain para los hash NTLM .
11.0- Interceptando passwords en la red con Caín y NTLMv2.
12.0- Auditando inicios, cierres de sesión y entradas a carpetas.
13.0- Enlaces de interés.
14.0- Despedida.

1.- Introducción:

Puede llegar el día que necesitemos recuperar las contraseñas (vaya cabeza la nuestra!!)
en un equipo tanto a nivel local como remoto de sistemas Windows. Para ello existen
varias herramientas, entre ellas Ophcrack, Caín que vamos a analizar y que nos pueden
hacer la vida muy fácil al administrador que necesita recuperar una contraseña en un
sistema Windows sin causar ningún tipo de cambio en el sistema que se esta analizando,
estas herramientas muchos ya las conoceréis y otros quedarán prendados de ellas.
Ophcrack puede correr bajo Windows, Linux y Mac Os X(CPU Intel), en este artículo
vamos a instalarla en Windows, vamos a probarla bajo Windows 2000 y XP SP2, según
su página oficial también funciona bajo Windows Vista, pero con algunas cosas que
tendremos que tener en cuenta. También vamos a ver las contramedidas para poder
defendernos de estas herramientas.. La herramienta Cain que veremos un poco más
adelante también corre en Windows 9x, NT, 2000 y XP y nos será de mucha utilidad.

También veremos los diferentes tipos de protocolos de autentificación que podemos

usar, LM, NTLM, NTLMv2 y lo vulnerables que pueden llegar a ser.

En lo referente a Ophcrack lo podemos usar de varias maneras, sin instalación, una vez
bajada la ISO tendremos un Live CD con Ophcrack sobre Linux slax con el que
podremos arrancar sin necesidad de instalación alguna, pero hay otra manera de usarla,
instalando la aplicación, ya lo veremos más adelante.

2-. ¿Que necesito para empezar?

Ophcrack: La página oficial es http://ophcrack.sourceforge.net/es.index.php para bajar

la iso iremos al apartado de download y bajaremos ophcrack-livecd.

Cain: http://www.oxid.it/cain.html

Tablas rainbow: Podemos descargarlas directamente de

http://ophcrack.sourceforge.net/es.tables.php . O en el programa de instalación da la
opción de bajarlas con el programa. En mi Live cd viene la SSTIC04-10k, se encuentra
dentro de X:\ophcrack\10000
, es un set de tablas pequeño pero suficiente para probar la herramienta. Como nos
podemos fijar en la página todos los set de tablas crackean password de hasta 14
caracteres, más adelante veréis mas formas de conseguir tablas e incluso de crearlas
vosotros a vuestra medida.
Que son? http://en.wikipedia.org/wiki/Rainbow_tables
Como funcionan? http://kestas.kuliukas.com/RainbowTables/

3-. OPHCRACK

3.1- Averiguando las contraseñas en Local con Ophcrack

Para averiguar las contraseñas en local solo debemos tener habilitado en la BIOS que
arranque vía cd o la unidad donde nos bootee Ophcrack. Una buena forma de evitar esto
es poniendo contraseña en la BIOS y apuntar como First Boot al disco duro
directamente.

Bueno, una vez introducido el cd y iniciado el sistema:

Después nos aparecerá la siguiente pantalla:

Como podemos observar debajo salen las estadísticas, usando la tabla alfanumérica
hemos descubierto las contraseñas del equipo en 484.29 segundos, es decir en poco mas
de 8 minutos.

Si la contraseña que estamos buscando usa caracteres no alfanuméricos, nos puede

interesar utilizar otro tipo de tablas. Para seleccionar la tabla iremos al apartado Tables
3.2- Descubriendo contraseñas de forma remota

http://kent.dl.sourceforge.net/sourceforge/ophcrack/ophcrack-win32-installer-2.4.1.exe
Vamos a instalar la aplicación Ophcrack ophcrack-win32-installer-2.4.1.exe
http://downloads.sourceforge.net/ophcrack/ophcrack-win32-installer-
2.4.1.exe?modtime=1195661800&big_mirror=0
También podremos instalarla desde el Live CD si lo hemos descargado esta dentro de la
carpeta X:\ophcrack, donde X es tu unidad de cd-rom.

La instalación es muy sencilla, podemos escoger las tablas que vamos a usar ya sea
señalando las tablas vía CD/DVD o vía internet
En mi caso voy a cogerla vía CD.

Después de esto hay que dar a todo siguiente.

Una vez instalado si vamos al menú Load… . Observaremos “From Remote SAM”
En Target hostname or IP, ponemos la ip de donde vamos a averiguar las contraseñas
El recurso compartido admin$ por defecto
El nombre de usuario si es diferente al que estamos usando (del grupo de
administradores).

Posteriormente nos pedirán la contraseña de administrador, del equipo remoto.

Le damos a Launch, y fácilmente volverá a resolver el resto de contraseñas pero esta
vez de forma remota, mientras el usuario del equipo remoto no se dará ni cuenta.

4.- CONTRAMEDIDAS:

4.1.0- Seguridad de contraseñas.

4.1.1- Longitud de contraseña

Podemos crear una política de contraseñas, en la que todos los usuarios tengan
contraseñas de una longitud mínima de 15 caracteres. Bueno, parece excesiva la
medida, ya que a los usuarios no les entraría tal contraseña en el Post-IT que tienen
pegado en el monitor.
Para hacerlo solo deberíamos ir a las Herramientas Administrativas > Directiva de
seguridad local > Directiva de Cuenta > Directiva de contraseñas > Longitud
mínima de contraseña.

4.1.2- Generador de passwords en Windows.

Windows tiene una sorpresa y es un generador de contraseñas, es fácil usarlo basta con
abrir el Símbolo de sistema “cmd.exe” y escribir: net user nombreusuario /random

Observamos que crea una contraseña de forma aleatoria, una vez metido ese comando la
contraseña de administrador pasara a ser kLoJ7oD@ , es lo que Microsoft entiende por
contraseña segura aunque después de leer este texto puede que no os lo parezca tanto.

Microsoft tiene un comprobador de contraseñas en línea: http://www.microsoft.com

latam/athome/security/privacy/password_checker.mspx , vamos a comprobar la
seguridad de la contraseña que nos ha generado.

4.2- Almacenamiento de claves en un disco de inicio o llave usb.

Podemos almacenar clave de inicio en un disco, en el ejemplo usaremos un usb y

intercambiaremos las letras de unidad de una manera muy especial

Para hacerlo, le damos al botón de inicio ejecutar > syskey

Actualización > Señalamos “Contraseña almacenada por el sistema” > “Almacenar

la clave de inicio en un disco” , habría que guardarlo en A:

Pero puede haber un problema quiero guardarlo en un lápiz usb y tengo mi disquetera
ocupando mi unidad A:

Para ello vamos a Mi PC [Botón derecho administrar] > Almacenamiento >

Administración de discos > Seleccionamos el disco usb y con el botón derecho le damos
a Cambiar la letra de acceso a la unidad, apuntando a la unidad A:
Quiero usar mi usb como unidad A: Pues nada amigos hagamos la jugada del polvorón.
Vamos a regedit cambiamos dentro de la siguiente clave
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices el nombre de
\DosDevices\A: por \DosDevices\Z:, y cuando vuelvas a arrancar el sistema veras tu
disquetera en la unidad Z.
Haremos la misma jugada con la unidad donde tenemos el pen drive por ej si la
teníamos en \DosDevices\E: pondremos \DosDevices\A: y al reiniciar nos aparece
nuestro usb como unidad de disco A:

Pedazo de disquete que me aparece jeje. Esto mismo podríamos hacerlo con la unidad C
para cambiar la letra de unidad de inicio del sistema.
Si reiniciamos el equipo esto es lo que nos va a salir, en mi caso lo he hecho sobre un
Windows 2000:

Como tenemos la llave metida, nos lleva a la entrada de usuario y funciona

correctamente.

Si hacemos la misma prueba sin el usb, nos encontraremos con el siguiente mensaje:
Ahora vamos a probar con Ophrcrack, arrancamos con el cd en local y comenzamos con
el programa, como ya podemos imaginar no va a ver suerte.
Como podemos comprobar a estas alturas ya tendría que haber encontrado las
contraseñas, pero no ha podido ser, gracias a haber almacenado la clave de inicio en un
disco.

5.- Probando sobre un Windows XP SP2, con sus posibles problemas que se nos
pueden plantear para acceder a recursos compartidos especiales “admin$”.

De primeras lo más seguro que no nos deje entrar, podemos intentarlo desde
\\192.168.0.201\c$ y nos da de vuelta:

Parece a simple vista como si nos forzara a entrar como invitado

Probamos de otra manera, agregamos unidad de red, forzando a cambiar usuario y

contraseña, para ello tenemos que ir a Conectar usando como otro nombre de usuario.
Ahí podremos seleccionar otros nombres de usuarios.
Pero nos dice que nada de nada, no podéis entrar.

Vamos a probar en modo comando:

>net use z: \\192.168.0.201\c$ /user:ddiego

La contraseña no es válida para \\192.168.0.201\c$.

Escriba la contraseña de "ddiego" para conectar a "192.168.0.201":

Error de sistema 5.

Acceso denegado.

Nada de nada. Una puntualización. en realidad tendríamos que hacerlo sobre admin$, ya
que el usuario puede dejar de compartir el recurso c$, pero en este caso es igual
tampoco nos deja entrar. Podemos observar varias cosas en el PC al que estamos
intentando acceder.

1º No nos dejan ver desde el administrador de equipos las propiedades de los recursos
compartidos especiales, nos sale un Actualizar
2º Desde local si nos deja entrar perfectamente a \\192.168.0.201\c$.

Mosqueo, he visto muchos foros dando vueltas y vueltas sobre lo mismo, que porque
aquí si me deja entrar y porque aquí no me deja entrar, aquí esta la respuesta.

Vamos a la materia, quiero que nos deje entrar.

Pues hay dos maneras, que son la misma en realidad:

Vamos a Herramientas > Opciones de Carpeta > Ver > Y abajo del todo deshabilitamos
“Utilizar el uso compartido de archivos (recomendado)”

Que seria lo mismo que cambiar una directiva de configuración de Seguridad local >
Para ello podemos ir a las Herramientas Administrativas > Configuración de
seguridad Local > Directivas Locales > Opciones de seguridad > Acceso de red:
modelo de seguridad y para compartir para cuentas locales, y si lo miramos
después de deshabilitar el Uso compartidos simple de archivos observamos que aparece
Clásico: usuarios locales autenticados como ellos mismos:
Si no hubiese aparecido, como estaba al principio:

Solo invitado: usuarios locales autenticados como invitados, si ponemos y volvemos a

las opciones de carpeta veremos que esta habilitado el uso simple de archivos.

Bueno ahora que tenemos habilitado Clásico; usuarios locales autenticados como
ellos mismos. Si damos a las propiedades de la carpeta C veremos que esta compartida
como C$.

Ahora vamos al equipo atacante:

>net use z: \\192.168.0.201\c$ /user:ddiego

La contraseña o el nombre de usuario no es válido para \\192.168.0.201\c$.

Escriba la contraseña de "ddiego" para conectar a "192.168.0.201":

Se ha completado el comando correctamente.

Ahora si me entra perfectamente.

Bueno vamos a desconectar la unidad de red ya sabéis “net use z: /delete” por que nos
puede dar problemas ophcrack, al abrir el mismo recurso y comprobamos que funciona
perfectamente.
6.- Más contramedidas, para evitar robos de contraseña de forma remota.

Ahora vayamos a lo siguiente, como evitar que nos saquen la contraseña de forma
remota. Vamos a plantearnos la situación bastante usual, no tenemos cortafuegos o
tenemos como excepción en el mismo la posibilidad de compartir archivos e
impresoras y encima la persona que quiere averiguar los usuarios y contraseñas de
nuestro equipo conoce la contraseña de una cuenta de un usuario incluido en el grupo
administradores de nuestro equipo, pero alguna razón oscura que desconozco quiere
averiguar el resto.

6.1.- Modificar el registro para que no nos comparta los recursos especiales cada
vez que iniciamos el PC.

Comprobamos que nos pide un Target Share ponemos admin$, podríamos

deshabilitar esos recursos compartidos especiales aunque según Microsoft puede
producir algunos problemas según Microsoft http://support.microsoft.com/kb/842715/es
. Pero bueno podemos comprobar que si descompartimos estos recursos compartidos
especiales, al reiniciar nos vuelven a aparecer, para evitarlo hay que tocar algo del
registro de Windows, en
HKLM\System\CurrentControlSet\Services\LanmanServer\ Parameters
Creando el valor DWORD AutoShareServer y AutoShareWks a 0

6.2.- Denegando el acceso al equipo desde la red.

Una buena opción es ir al Panel de Control > Herramientas administrativas >

Directiva de seguridad Local y dentro de directivas locales > Asignación de
derechos de usuarios > Denegar acceso desde la red a este equipo > Ahí añadimos al
grupo administradores o a los usuarios que no queremos que tengan acceso desde la red.
Reiniciamos y ahora vayamos a ophcrack y nos darán la vuelta, esta directiva esta por
encima de Tener acceso a este equipo desde la red, ahí también podríamos habilitar
el acceso a los usuarios que deseamos que puedan acceder al equipo desde la red.
7.- Protegiendo nuestras contraseñas.

También podemos ir donde antes, Herramientas administrativas > Configuración de

seguridad Local > Directivas Locales > Acceso de red: modelo de seguridad y
para compartir para cuentas locales
[Solo invitado: usuarios locales autenticados como invitados]

Comprobamos que tenemos habilitado Acceso a Redes: no permitir enumeraciones

anónimas de cuentas SAM (Esta habilitado por defecto)

Y después podemos habilitar Acceso a redes: no permitir enumeraciones anónimas

de cuentas y recursos compartidos SAM

Bueno habilitamos estas dos últimas por seguridad.

7.1.- Deshabilitando LAN Manager.

Lan manager como podemos comprobar da un escaso nivel de seguridad y es fácilmente

vulnerado. Por eso vamos a rechazarlo, esto puede ocasionar problemas de inicio de
sesión con clientes que tengan versiones anteriores a NT 4.0 con service pack 4.. Pero si
tenemos ese problema también tiene solución según microsoft ntlmv2 se encuentra
disponible para Windows 98 y 95 instalando el Active Directory Client Extensions, y
tocando un poco el registro, aquí habla un poco del tema
http://support.microsoft.com/kb/239869 .

Bueno vayamos a cambiar nuestras directivas:

Podemos cometer el siguiente fallo:

Configuración de seguridad Local > Directivas Locales > Opciones de seguridad

> Seguridad de redes: Nivel de autenticación LAN Manager y señalamos
Enviar solo respuesta NTLMv2\rechazar LM

Probaremos esta configuración mas abajo., pero cuidado, estamos aceptando

NTLM sin darnos cuenta!!

Esto puede llevar a engaño, pensando que solo estamos aceptando NTLMv2, pero
también aceptan NTLM, aun tenemos posibilidades de llevarnos por delante la
contraseña, como veremos mas adelante.

Para rechazar LM y NTLM realmente y solo usar NTLMv2 debemos cambiar la

siguiente directiva:

Configuración de seguridad Local > Directivas Locales > Opciones de seguridad

>Enviar solo respuesta NT Lan Manager versión 2\Rechazar Lan Manager y NT
Lan Manager

Como podéis observar, siempre con la claridad que Microsoft nos tiene acostumbrados.
Otra manera de verlo es entrando en el registro HKLM\SYSTEM\CurrentControlSet\
Control\Lsa el valor DWORD lmcompatibilitylevel, tiene que esta en 5, para ver los
valores que pueden tomar: http://www.microsoft.com/technet/prodtechnol/
windows2000serv/reskit/regentry/76052.mspx?mfr=true

También deberíamos cambiar otras dos directivas, en Seguridad de red: seguridad

mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro)
y Seguridad de red: seguridad mínima de sesión para servidores basados en
NTLM SSP (incluyendo RPC seguro), habilitamos las 4 opciones que tienen:

7.2.- Jugada Maestra

Modifiquemos la siguiente directiva:

Configuración de seguridad Local > Directivas Locales > Opciones de seguridad >
Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo
cambio de contraseña
Ahora cambiaremos la contraseña de los usuarios, podemos poner las mismas y no
almacenara los valores hash de Lan Manager en el cambio de contraseña

Haciendo solo uso de NTLMv2 veremos que Ophcrack por remoto no deja.
Y en local, nada de nada todo empty, y el archivo que nos puede generar:

Administrador:500:aad3b435b51404eeaad3b435b51404ee::/EMPTY/::/EMPTY/
Invitado:501:aad3b435b51404eeaad3b435b51404ee::/EMPTY/::/EMPTY/
ddiego:1003:aad3b435b51404eeaad3b435b51404ee::/EMPTY/::/EMPTY/

Solo el nombre de usuario

8.- Averiguando contraseñas con LM desactivado, pero aceptando NTLM.

Ahora imaginemos que Ophcrack, que solo hemos deshabilitado LM y estamos

aceptando autentificación NTLM. Como puede ser perfectamente tener habilitado
Enviar solo respuesta NTLMv2\rechazar LM

Como podemos observar nos aparece todos /EMPTY/, hasta el que hemos metido para
acceder al recurso admin.$ nos aparece /EMPTY/ “Not Found”. El atacante se quedara
con la boca abierta.

Pero nos damos cuenta de una cosa, vamos a eliminar esa cuenta de Asistente de ayuda
y nos encontramos con el siguiente mensaje:
Negocio, negocio, esto pasa por no almacenar el valor de Hash de Lan Manager. Esta
tabla rainbow de hashes nt que anuncian, es de pago y según la página de ophcrack las
proporcionan ellos mismos: http://www.objectif-securite.ch/en/products.php. Entonces
nos queda dos opciones pedir una subvención o seguir este manual.

“NT hashes need to be cracked when the weaker LM hash has been disabled. This
can be done for security reasons and is the default setting for Windows Vista.”

No la he probado. Pero bueno el mensaje no saldría si encontrara una contraseña en

alguno de los usuarios, seria fácil tener alguno para evitar este More Info jeje, aunque
también seria arriesgado, porque sigues siendo vulnerable.

Y iniciando con el Live CD en local nos encontramos con el mismo panorama y todos
empty

9.- No tengo dinero para comprar ni media tabla. Pues llamemos a CAIN que
invita!

Se me ocurren dos maneras de conseguir estas tablas que nos facilitarán la labor de
recuperar estas contraseñas
9.1.- Descargando tablas rainbow.

Primero nos bajaremos unas tablas de rainbow para NTLM, yo me he bajado unas que
resuelven hasta 6 caracteres alfanuméricos de hasta 6 caracteres.
Me los he bajado de aquí: http://rt.aspietom.co.uk/, también podemos encontrar más en:
http://www.freerainbowtables.com/rainbow_tables/ y varias más que he encontrado en
su foro:
http://www.napsko.com/jerome/
ftp://rt:rt@mirror2.fpux.com/
http://rainbowtables.ddl.cx/
http://rt.75x.org/
http://rt.walshnetwork.co.uk/
http://rt.chrysaor.info/
ftp://mirror2.fpux.com/
http://rt.aspietom.co.uk/

9.2.- Creando tablas rainbow con Winrtgen.

Otra opción aunque más lenta es crear nuestras propias tablas, con Winrtgen que nos lo
proporcionan en http://www.oxid.it/projects.html, al final podemos ver:
“Winrtgen is a graphical Rainbow Tables Generator that supports LM, FastLM,
NTLM, LMCHALL, HalfLMCHALL, NTLMCHALL, MSCACHE, MD2, MD4,
MD5, SHA1, RIPEMD160, MySQL323, MySQLSHA1, CiscoPIX, ORACLE,
SHA-2 (256), SHA-2 (384) and SHA-2 (512) hashes”

Con esta herramienta podremos crear nuestras tablas a nuestro gusto, aunque tardaremos
un poco más que descargándolas: Veamos la herramienta:

Al abrir le damos a Add Table, y ahí nos deja elegir el tipo de tabla que queremos,
podremos elegir un hash NTLM, la longitud de la tabla, en que número de tablas
queremos que nos la genere, y el juego de caracteres “charset” que queremos que tenga.
Una vez elegido nos aparecen las tablas, en la ventana de la izquierda y solo hay que
darle a OK.

En mi caso he generado 3 tablas, NTLM de hasta 7 caracteres alfanuméricos, y no os

preocupéis podéis parar el trabajo y continuar generándolo después. A la derecha sale el
porcentaje, en generarla tarda un buen rato.

10.- Haciendo uso de Cain para los hash NTLM .

Pero si habéis bajado alguna tabla rainbow de la red, o de la página que os he indicado
más arriba, podemos ir a ophcrack, indicar la ip de nuestra victima, veremos que nos
vuelve a salir al advertencia de que usemos tablas Nthash. Pues ahora le damos al menú
Save as, y guardamos como save.oph.txt.

Dentro de este archivo veremos:

Administrador:500:aad3b435b51404eeaad3b435b51404ee:06e7cd27e9e3ecf4426211d37ca2b236:/EMPTY/::
ddiego:1003:aad3b435b51404eeaad3b435b51404ee:1554787e79ad53d75eb2282906b407d1:/EMPTY/::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:/EMPTY/::/EMPTY/

Bueno he cambiado las claves de nuevo, por la longitud de la tabla que me he bajado.

Ahora vamos a Caín, vamos a la pestaña Cracker y le damos al botón derecho Add to
list.
Vamos a Import Hashes from a text file,damos a OK y luego a Next, ahí podemos
señalar las cuentas que queremos averiguar la contraseña., podemos borrar las que
queramos con Supr, o seleccionar varias.
Ahora señalamos las tablas, en Add Table, le damos a Start, unos minutos al horno y
estará listo.
He cambiado las contraseñas, de usuario administrador a prueba y la de ddiego, porque
las tablas que me baje son de 6 caracteres como máximo.

11.- Otra forma de crackeo rápida, efectiva y barata, de la mano de plain-text.info

He cambiando la contraseña de administrador de nuevo a 1234.

Ahora vamos a Save As como antes, y guardamos el archivo como viene por defecto:

save.oph

Ahora veamos los que hay dentro:

Administrador:500:aad3b435b51404eeaad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6:::
ddiego:1003:aad3b435b51404eeaad3b435b51404ee:df3a9b37122daa575c3698e7452b9473:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Podemos googlear para buscar alguna coincidencia, o lo que es mejor ir a esta página:
http://plain-text.info/search/ vamos a meter en hash:
7ce21f17c0aee7fb9ceba532d0546ad6 , damos a search y nos sale el resultado:

Si buscamos 31d6cfe0d16ae931b73c59d7e0c089c0 del usuario invitado, veremos que

es verdaderamente empty

También podemos hacer nuestras propias aportaciones a la página.

Como podéis observar, podemos sacar contraseñas de manera bastante efectiva y fácil.

11.- Interceptando passwords en la red con Caín y NTLMv2.

Vamos a ponernos a escuchar todo lo que pasa en la red, en este caso son tres equipos
192.168.0.201 que es el equipo en el que queremos averiguar la contraseña y que esta
compartiendo recursos, 192.168.0.200 que es un equipo de un usuario de la red que
entra normalmente a los recursos compartidos del .201 como un usuario del grupo
administradores y nosotros en nuestro equipo .128 en el medio escuchando todo lo que
hablan, los dos equipos usan NTLMv2 y descartan todo lo demás.

Entonces vamos a sniffer de Cain

Señalamos, los 3 botones que he señalado en rojo de la imagen siguiente para activar,
después de esto nos vamos al equipo 192.168.0.200 e intentamos entrar en el 201, a c$
pro ejemplo con usuario disidents contraseña 2008, el sniffer comenzara a funcionar:
Y más a la derecha sale:

Como podemos comprobar este es el tráfico que me interesa, esto significa que me he
logeado varias veces, por lo tanto lo señalo y con el botón derecho le doy a Send to
Cracker, como muestra la siguiente captura, podemos ver que podemos mandar uno o
varios, con uno de ellos seria suficiente:
Ahora vamos a Cracker y veremos que dentro de NTLMv2 esta lo que mandamos
desde el sniffer, ahora vamos a señalar el último logeo que hice y darle con el botón
derecho, Brute-Force Attack, o si tienes diccionarios usar un diccionario.

Lo voy a configurar para que use tome solo caracteres numéricos para que la encuentre
bien rápido, también como podéis observar admite uso de diccionario.
12.0- Auditando inicios, cierres de sesión y entradas a carpetas.

Queremos saber quién, como y a que hora entra un usuario en nuestro equipo, si entra
desde la red, en local…

Vamos a Configuración de Seguridad Local > Directivas Locales > Directiva de

Auditoria > Auditar sucesos de inicio de sesión

Ahora vamos a probar a logearnos con Ophcrack, vamos a comprobar primero el

mensaje que nos daría si alguien intentara entrar en red con una contraseña errónea,
vamos al Visor de sucesos > Seguridad
Suceso: 529 Según Microsoft “Error de inicio de sesión. Se intentó iniciar sesión con
un nombre de usuario desconocido o un nombre de usuario conocido con una
contraseña no válida.”
XPVIRTUAL: Es nombre de el equipo donde estamos intentando conectarnos
disidents: Es el nombre de usuario con el que estamos intentando logearnos
Tipo de inicio de sesión: 3 Es el tipo de sesión “Network”, un usuario quiere
conectarse desde la red. Para ver los tipos de sesión y los sucesos podéis entrar en la
página de microsoft: http://technet2.microsoft.com/windowsserver/es/library/e104c96f-
e243-41c5-aaea-d046555a079d3082.mspx?mfr=true
Proceso de inicio de sesión: NTLM
Ahora veremos un inicio de sesión correcto:

En este caso los datos son los mismos, pero el Id de suceso es 540, lo que quiere decir
que el usuario a iniciado una sesión en una red satisfactoriamente.

Ahora vamos a auditar el acceso de una carpeta compartida:

1º Tenemos que ir a Directivas locales > Directivas de auditoria > Auditar acceso a
objetos

Ahí vamos a marcar, Correcto y Erróneo

Después de esto vamos a ir a propiedades de la carpeta compartida, por ejemplo vamos
a elegir c:\windows, veremos que esta compartida admin$, esto podríamos hacerlo con
cualquier directorio o archivo.

Dentro de las Propiedades, iremos a la pestaña Seguridad > Botón [Opciones

avanzadas]
Posteriormente iremos a la pestaña Auditoria, para agregar los grupos o usuarios que
deseamos auditar, en mi ejemplo auditare al grupo Todos, (esto es solo una prueba para
ver como funciona, en un caso real no es conveniente realizar auditorias tan poco
selectivas ya que sobrecargan el sistema, y como podemos comprobar en el visor de
sucesos nos aparece inundado en cuestión de segundos, podríamos seleccionar un
usuario o grupo de forma más especifica, objetos a auditar, etc…), . Bueno pero espero
que os sirva de orientación, vamos al botón Agregar, y después metemos el usuario o
grupo a mano, o podemos ir a Avanzadas > Buscar ahora para que nos muestre los
usuarios y grupos del equipo.
Ahora iniciaremos Ophcrack desde otro equipo, y podremos observar en el visor de
sucesos del equipo donde hemos aplicado la directiva como carga PWDUMP, veremos
entradas en los eventos apuntando a C:\WINDOWS (pwdservice.exe, LsaExt.dll,
test.pwdump)
Ahora podemos ver y entender como actúa Ophcrack en el equipo remoto, si corréis un
monitor de procesos veréis todo lo que pasa en vuestro pc con más detalle.

13.0- Enlaces de interés.

Os pongo algunos enlaces interesantes y de utilidad, puede que con el tiempo cambien
si es así tendréis que buscar.
FAQ Ophcrack: http://ophcrack.sourceforge.net/es.faq.php
Cain & Abel: User Manual: http://www.oxid.it/ca_um/
Amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y
Windows XP: http://www.microsoft.com/spain/technet/security/topics/serversecurity/
tcg/tcgch00.mspx
Configuración de seguridad para clientes Windows XP: http://www.microsoft.com/
spain/technet/recursos/articulos/secmod62.mspx
plain-text.info: http://plain-text.info/
Rainbow Hash Cracking: http://www.codinghorror.com/blog/archives/000949.html

14.0- Despedida.

Espero que os haya divertido el artículo, se me ha extendido un poco mas de la cuenta,

pero bueno. Los próximos que realice posiblemente serán sobre otros temas, más
relacionados con programación.
Me gustaría saludar y agradecer a todos los que han hecho y siguen haciendo posible
Disidents durante todos estos años, a ellos y a todos los que nos leéis os dedico este
artículo.