offtopic: Deze video wordt op dit moment verwerkt, nog even geduld alsjeblieft?

verwerkt waarin? het eten? een cocktail? snoepjes voor kinderen? :P

We proberen het later wel weer

Volgens mij werkt dit 7 seconden durend videootje op elk OS met een mediaspeler ^^

Ik snap het ook niet.
Ik heb voor het eerst hier wat geupload in hackertube.

en de video duurt wat langer dan 5 min

Tja, heel erg boeiend..... :')
NTLM en NTLMv2 zijn zover als ik weet al gekraakt. tevens heb je hiervoor Administrator permissions nodig. En fysieke toegang tot de computer om deze aanval uit te voeren. Echter Als je al administrator ben kan je al de wachtwoorden resetten of de files inzien.

Wat de makkelijkere versie's zijn, zorgen dat je de magnifier of een andere tool mapped aan cmd, of de overschrijving van de hash door je eigen hash.

Boot access == root access
Ook al heb je geen admin rechten op die machine dan kun je nog bij alle files...

-Jeroen

ja dat kan maar goed.
Als je op iemand de account wilt komen zonder dat die gene het in de gaten heeft.

Het is echt heel duidelijk te zien wat er in de Video gebeurd! :-)

En daarom encrypten we ook de sam database

Ben je bewust dat je op een forum bent waar veel mensen zitten die enige kennis hebben van zaken.
Zorg dat je de onderwerpen die je wilt behandelen goed begrijpt voor er een tutorial of iets over te maken.

Daarnaast is het erg lastig om de video te volgen met elke keer een wordpad scherm met getype erin tussendoor, gebruik je stem en vertel wat je doet en wat er gebeurd.

zo lekker zakelijk. Een kinderstem in de video maar goed ik upload een filmpje en dan krijg ik allemaal dit commentaar.
Anderen mensen gebruiken ook in de video's hun stem niet en daar wordt ook niks over gezegd.
Maar goed als mensen beweren het beter te kunnen nou dan zou ik zeggen upload dan ook een video.
Maar ja lekker professioneel een kinderstemmetje in een video.

Getypt is toch ook goed. Of zijn de mensen ook nog eens te lui om te lezen.

Maar wel raar dat je dan het moeilijk vind om het te volgen. Zeker te veel alcohol op

Deze instructie was prut. Maar goed, over tot de orde van de dag.

Het is 19:00 uur geweest en dus PATCHdag.

Nou lekker dan.
doe ik moeite om mensen een plezier te doen dan krijg ik stank voor dank.
Ik had zeker niet moeten zeggen dat ik 13 ben.

Ooh dus zo werkt het hier.

NTLMv2 heeft hier niets mee te maken (dat gaat om netwerkauthenticatie)... En soms wil je toch echt het daadwerkelijke wachtwoord achterhalen.

Ik zou een soort gelijke truc nog wel eens willen zien met een machine waar je geen windows wachtwoord weet en waarvan de schijf met bitlocker encrypt is, ook zonder dat je zelf de bitlocker-key bezit. Wie krijgt dit voor elkaar?

Ik denk namelijk dat vrijwel iedereen de methode kent waarbij de linux-boot gebruikt wordt om het admin wachtwoord te resetten, maar mij is dit nog niet geluk met een machine met bitlocker.

Deze tool is al zo oud
en een brute force attack uitvoeren is echt niets nieuws
probeer dit nu een met stel een 4096 bit wachtwoord
Stel je werkt bij een bedrijf en wilt een account kraken
tegen de tijd dat je dit met een brute force attack gekraakt hebt is het bedrijf al failliet of de systemen draaien al op Windows 45
Tutorial gaat dus helemaal nergens over
leuk als ej wachtwoord: 123456jantje is
maar niet bijvoorbeeld 8jUHm&%3~!ie39n o;_9309u*^*%#& ( *&^*^heb*ujU5$%%$^&%

Als je de video helemaal had beken dan wist je dat je ook rainbow tables kunt gebruiken. want die werken 100x sneller dan een brute force attack.
en geen enkel bedrijv heeft een wachtwoord langer dan 30 tekens. Dus blijf maar verder dromen over windows 45.
De tutorial is ook niet bedoelt voor proffesionals. Kom nou niet beweren dat je een pro-beveiliger/hacker bent anders had je
wel minimaal geweten over rainbow tables en winrtgen.

Ik heb deze video's geupload voor iedereen op secuirety.nl om ze gewoon wat te laten zien en voor de basis.
Als mensen beweren iets beters te kunnen uploaden dan zou ik zeggen ga je gang!

Beste Romano, je kan dan wel denken dat je beter niet had kunnen zeggen dat je 13 bent,
maar als ik dit alleen al lees "en geen enkel bedrijv heeft een wachtwoord langer dan 20 tekens."
kan ik al concluderen dat jij een 13 jarig schoffie bent. En no offense hoor, want ik ken ook jongens van rond jou leeftijd die al aardig wat in hun jas hebben!

Come on kiddo droom jij maar lekker verder
Kom maar op met je cain en abel mag jij mijn windows server hacken
Sterker nog kom maar bij mij thuis mag je het van mijn internal netrwerk uitvoeren
ik spreek je over pak m beet 2000 jaar weer aangezien ik boven de 4096 bit zit
Je wilt de popi scriptkiddy uithangen en heb de term linux een keer gehoord
maar wellicht niet eens het verschil weet tussen gnome en kde
En wat betreft die rainbowtables waar jij zo je zinnen op hebt gezet
Dat potje goud aan het einde van de regenboog blijkt een zware domper ... but you will learn when time passes by
In de tijd van i8086 geloofde ik er ook nog in ...
maja who am I beside an old man for sure not Neo
my command is "break" followed up by "bg" commanding those bashes

Heren,

Als een 13 jarige dit soort technieken beheerst, en zelfs een tutorial voor ons schrijft, dan kunnen we wel allemaal schoffie en kiddo roepen, en het vervelend vinden dat hij wordpad gebruikt, in plaats van de laatste web 5.0 uberpresentatie-technieken, maar feit blijft dat hij er meer van weet dan de meeste applicatie-beheerders.
straks wordt hij 14, en 15, en wie weet bezoekt hij dan wel jouw bedrijf.
als creatieve stagiair, of via de wifi-verbinding van je directeur.

Een hacker kan meer stukmaken dan 100 beveiligers kunnen beveiligen, en als hij over een van je 100 uber-defenses heen komt...
daar zit je dan met je 42 diploma's van je firewall. en hij komt binnen via een usb-stick of een wifi-verbindinkje.

Stel je voor dat een boefje een van je 1000 pc's steelt, en het lokale admin password er uit peutert.
of een stagiair zijn toegewezen laptop onder handen neemt.
Ga jij dan op alle 1000 pc's het local admin password aanpassen?
elke dag een nieuw 128 karakter pass?

Nee, dus ineens staan al je virusscanners uit op je vlan, en staan overal, ook op die van jou, keyloggers die al je passwords en de mail aan je moeder leechen. al je passwords, ook prive, uit je firefox gelepeld, al je printerpasses gesnift.

Beetje respect voor hackers is wel op zijn plaats, zelfs als het een scriptkiddie is.

Droom jij even verder Anoniem, 11:04 ?

Romano je bent goed bezig (voor een 13 jarige) luister niet naar al die gekken hier (die dit niks vinden), zei zijn ook ergens begonnen.

@anoniem van 12.00
Toch maar eens ingelogd, om mijn reactie van 11.04 toe te lichten.

Wanneer je de mogelijkheid een beveiliging te doorbreken als dromen ziet, dan heb je je beveiliging waarschijnlijk zo goed voor elkaar, dat het onmogelijk is deze te doorbreken.
Aangezien security, gebruikersgemak en betaabaarheid een drie-eenheid vormen, zal dit betekenen dat je ofwel erg duur uitbent, ofwel geen gebruikers meer hebt van je omgeving, omdat hun 1024 karakterpassword al verlopen is voordat ze het in hebben kunnen typen.

Als we ons hoofd eens uit dat gat vol standaarden en certificaten halen, en een beetje rondkijken, dan zien we dat het hek overal even hoog moet zijn.

Een uber firewall doet niets tegen een dief die dat ding komt stelen, en een strak IDS helpt weer niet tegen een manager die de database even lokaal zet voor onderweg, en zijn laptop laat stelen.

Deze jongen laat zien dat een 13 jarige, die geen gebruik maakt van gelikte presentatiemogelijkheden, toch een lokaal wachtwoord weet te kraken. Natuurlijk heeft hij cain en Abel niet zelf bit voor bit geschreven in assembler of wat dan ook, maar je vraagt van een soldaat ook niet of hij zelf zijn AK47 heeft gelast en gegoten. Feit blijft wel dat hij ermee kan schieten. en raak ook.

Iedereen die dit afdoet als een verwerpelijk jochie,
en weer verdergaat met een mooie powerpoint-presentatie over security, snapt er niets van.

Thijs van den Brink
MCSE/VCP, en bijna CCNA. ;-)

Niks van aantrekken Romano, die krasse knarren vergeten nog wel eens dat ze ooit zelf ook jong en groen zijn geweest ;)

Dude, jij denkt dat iemand het gelooft dat jij een wachtwoord van meer dan 256 tekens hebt? Lekke constructieve kritiek weer hoor, lekker volwassen.

Ik kan eigenlijk veel meer.

Kijk naar me bureaublad.
Metasploit,Nessus dus automatisch Nmap.

Ik kan veel meer maar veel dingen hier mogen dingen niet zoals: een sql injection op een website uitvoeren waarvan de exploit niet eens 1 week oud is.
Of de ie aurora exploit te laten zien.
Of een botnet laten zien, zelfs op mijn eigen pc.
Maar als ik dat zou laten zien dan zou iedereen mij gaan afkraken en zeggen dat ik een crimineel ben of mensen help omdat te worden of dat het filmpje veel beter kon en dat ik gwn dom ben.

Ik weet niet eens meer zeker door veel slechte reacties of ik hier wel ooit een filmpje ga uploaden, ik heb geen zin in gezeik. Wel bedankt voor de mensen die wel goed commentaar hebben geleverd.

voor Romano:
Het is leuk dat je bereid bent dit soort filmpjes te maken maar leg dan uit hoe de achtergrond in elkaar zit, niet zo van klik hier, klik nu daar, vul nu dit in en ta da je hebt het gekraat.

Maak liever een filmpje over iets wat je zelf het gemaakt of onderzocht, zo lang het op je eigen netwerk is is het juist leuk om de technologie erachter te bespreken.

Ja we zijn wat hard voor je geweest, zal dat niet ontkennen.
Voor de volgende keer is het belangerijk dat je goed dingen uitzoekt voordat je van een toren blaast.
hacken en cracken, defacing en nog meer van dat goeds blijft een gevoelig onderwerp.
En Cain en Abel is een heel oud programma
punt wat eerder duidelijk gemaakt wordt is dat je het niet zomaar ff doet een wachtwoord kraken.
Natuurlijk heeft iemand niet zomaar een wachtwoord van 4096, maar stel dan ben je echt lang bezig dat is gewoon een feit.
Om nog maar te zwijgen over wat voor systeem je nodig hebt .... do the math ;)
Menig hacker wil/kan en gaat daar niet op wachten, neem bijvoorbeeld die engele gast.
Stel dat hij jarenlang elke dag continue op de virtuele deur van bijvoorbeeld NSA gaat kloppen
Nou dan gaat na denk ik een dag al bij hem de deurbel terwijl Cain en Abel de eerste binaries aan het verwerken is.
Ten tweede met filmpjes en insturingen laat je door de kritiek niet tegenhouden
Je kan deze ook als opbouwend accepteren, bewijs het tegendeel zodat wij weten dat je daadwerkelijk een punt hebt.
Wij, de meesten onder ons, zijn vastgeroeste netwerk/syeteembeheerders die jaren lang in het vak zitten.
Ik spreek niet alleen voor mijzelf maar denk voor velen.
Wij houden ons dagelijks met o.a. security bezig omdat het ons werk is.
Sommigen kunnen je willen wijzen dat niets zomaar ff is ... trust me, learning security takes time
Vraag een gemiddeld persoon bijvoorbeeld over internet, zal je denk ik niet verder komen dan TCP/IP
weinigen zullen je zeggen 65.535 ports TCP en dan ook nog eens UDP dat zijn heel wat deuren en ramen
om die dicht te timmeren moet men weten hoe deze communiceren.
Daar zijn de hacking fundamentals.
Dat ik je kritiek geef is niet dat ik je niet respecteer, mijn credits krijg je kiddo al was je 5 jaar
Maar bottomline is dat er echt meer vor nodig is dan slechts een proggie wat een BFA doet

Keep up the good work
Share the knowledge

mijn 3e filmpje
http://www.security.nl/artikel/32516/1/hackthissite_Realistic_mission_2.html

mijn 3e filmpje
http://www.security.nl/artikel/32516/1/hackthissite_Realistic_mission_2.html

Hallo,

Kan iemand mij helpen een NT Hash (Vista) te decoderen? Standaard VistaFree tabel van ophcrack is niet voldoende en brute force gaat allemaal veel te lang duren. Verder ben ik niet zo handig om met allerlei rainbowtables aan de slag te gaan.

Het is bedoeld om mijn schoonzus weer toegang te geven op de laptop na het overlijden van haar man. Resetten van het PW kan altijd nog, maar het password hebben is op dit moment waardevoller.

Groeten,

Rene

als het je veel waard is dan moet je de Tables kopen.
kijk op http://www.freerainbowtables.com/nl/tables/ntlm/
of http://www.freerainbowtables.com/nl/hashcracking/
anders moet je de tables aanmaken met winrtgen en dan kraken met rcrack

Romano, een botnet op je eigen computer is niet zo slim ;-) Maar ik vind dat je aardig op dreef bent, ga zo door en laat van je horen!

kijk ook mijn filmpje van hackthissite realistic mission 2

Ik heb niet de tijd, zin of de middelen (snelle PC, grote HDD, snelle download, etc) om me verder te verdiepen in deze interessante materie. Ik hoopte iemand te treffen die er midden in zit en mij als (betaalde?) dienst een NT hash kan decoderen.

P.s. dowloads vanaf freerainbowtables werkt niet (meer). Je wordt verwezen naar GARR en die biedt alleen LM-tables.
P.s.2 ik heb inmiddels wel geleerd hoe je een "sterk" password bouwt en dat ga ik zeker meer toepassen.

Rene

ik denk dat niemand zin heeft om onbetrouwbaar voor en tientje een NT hash voor je gaat kraken.

Mijn bedoelingen zijn echt oprecht, maar ik begrijp ook de professionele weerzin om dit aan te pakken. Ik wens jullie allemaal veel succes met het veiliger maken van het IT-landschap.

Groeten, Rene

oke, (misschien was die NT-hsh niet te kraken)
je kunt ook gewoon kijken in een NT-hash database op google.

Rene,

Waarom niet even googlen? maar even een stappenplannetje wat ik zou uitvoeren.

a) image maken v/d laptop
b) booten vanaf een livecd , schijf mounten
c) toegankelijkheid opties.exe hernoemen (kies er 1 uit)
d) cmd.exe kopieren en hernoemen naar de toegankellijkheid.exe
rebooten en je hebt een admin dos scherm. Ik ga verder niet uitleggen hoe nu verder want dit is al een open deur.

daarna even googlen en een bootcdtje maken met de juiste tabellen en vervolgens dat ding zijn werk laten doen.

er zijn zat sites, tools, livecds waar heel veel over te vinden is op google en zelfs op security.nl enig uitzoekwerk wordt wel verwacht.

@romano zie het als opbouwende kritiek. ga vooral door en verwerk het kritiek in 1 van je volgende filmpjes.

kijk ook mijn filmpje van hackthissite realistic mission 2.
mijn 3e filmpje

gewoon zo door gaan kiddo :D
niet luisteren naar het gezeik ;-)

i <3 it

#Arie

software als ophcrack etc werken niet, heb het zelf geprobeerd. konboot daarentegen werkt uitstekend!!
althans behalve bij nieuwe laptops die op windows 7 draaien, daar wil het helaas (nog) niet lukken

(ps als iemand een tip heeft over hoe je dat laatst genoemde kan kraken, is het van harte welkom)

brand ophcrack voor windows xp en start hem op met text mode en niet met grafische mode.
als het goed is kraakt hij nu de pass.
Veel suc6

Dat je pas 13 bent, betekent in ieder geval dat vooral je korte lontje nog een hele tijd moet groeien.

ophcrack werkt tot nu toe uitstekend bij Windows XP en alle versies van vista bij Windows 7 heb ik dit nor niet getest maar volgens mij werkt dat ook. Zal het wel eens uit testen als ik tijd heb.

Groeten Molly21

http://ophcrack.sourceforge.net/download.php?type=livecd

waarom moeilijk doen met die hash bullshit? Boot 1x met Kon-Boot, en je zit in je gewenste Administrator account.
werkt ook voor Linux, Win XP, Vista, Win 7, Win 2003 etc etc.

dit werkt ook als de admin een wachtwoord heeft dat gelijk staat aan 2024 BIT.

nou succes.

Wist je ook al dat Ophcrack alleen voor XP en Vista is?

~0xB00B