Hoeveel heb je aan een server als je geen processen zou kunnen starten?

Wat is jou rol en wat voor server bedoel je (wellicht een gewone gebruiker en een terminal server?)

Lekker duidelijk dit.. mijn complimenten.

Dit geeft al aan dat je met dingen bezig bent waarmee je beter niet mee bezig moet zijn.

Waarschijnlijk niet helemaal duidelijk geweest: Op de server kan ik naar mijn locale PC navigeren en bijvoorbeeld process-explorer starten (krijg dan alle processen van de server te zien). Ook kan ik naar de eerder genoemde directory navigeren en bijvoorbeeld fgdump starten (of misschien wel meterpeter).

Mijn bedoeling is om wat meningen los te peuteren en systeembeheerders weer eens wakker te schudden.

Het feit dat je processen en bestanden kan zien betekent nog niet dat je er ook iets mee kunt.

@SirDice: Het is waar, dat een hack niet altijd lukt. Zonder toestemming ga ik nu niet verder analyseren.

De vraag is dus : kan je fysiek bij de server komen ?
Want dat is al fout.

Zolang je geen aanvullende informatie hebt kunnen we hier weinig mee.

Wat is je rol? Wat voor server is het? Hoe start je de eigen processen? Krijg je op je donder als iemand er achter komt?

We wachten af

Server is niet fysiek te benaderen en ook niet via internet. Het gaat om een Windows Server 2003 configuratie, waar met remote desktop op in wordt gelogd. Gebruikers hebben inderdaad teveel rechten op de server. Probleem is gemeld en systeembeheer lost het op.

Indien er remote desktop gebruikt wordt dan moet je, als gebruiker zijnde, wel processen kunnen starten. Anders heb je niet veel aan een remote desktop server.

V.w.b. de bestanden in c:\windows\system32\config, die bestanden kun je niet openen als Windows gestart is (ook niet als administrator). Ze worden exclusief gelockt door het OS.

@SirDice: Bestanden worden inderdaad gelockt (of is het gelocked uit het engels) door Windows. Echter met een programma als fgdump zijn deze wel te benaderen (voor XP/2000/2003). Het programma fgdump wordt door veel virus-scanners tegenwoordig wel herkend. Ik weet niet of het programma ook wordt herkend, nadat deze met een crypter is behandeld (zie hackertube).

Indien de hash is uit te lezen, moet deze nog wel worden gekraakt (van bijvoorbeeld de Administrator). Mijn vermoeden is, dat het wachtwoord van het ene systeem ook op andere systemen wordt gebruikt. Of hoe doen de systeembeheerders dat tegenwoordig?

Op een draaiende Windows computer met NTFS bestandsysteem kunnen de volgende gebruikers onder de volgende omstandigheden wachtwoordhashes en andere vertouwelijke gegevens uit het actieve register halen:
- Als lid van de Administrators groep, maar dan moet je wel wat moeite doen (take ownership of SYSTEM worden);
- SYSTEM (als lid van de Administrators groep kun je redelijk eenvoudig SYSTEM rechten verkijgen, dwz zonder extra wachtwoord);
- Als lid van de groep Backup Operators (of andere groep die het backup operator privilege heeft).

Tools als fgdump geven je geen mysterieuze extra privileges en/of rechten (fgdump vereist admin rechten op het target systeem, zie "System Requirements" onderaan http://www.foofus.net/~fizzgig/fgdump/; wel kunnen dit soort tools je het cracken makkelijker maken doordat de auteurs ervan weten hoe het register is opgebouwd en ze bijv. obfuscatie teniet kunnen doen). Lezenswaardige blogpost in dat kader: http://moyix.blogspot.com/2008/02/syskey-and-sam.html.

Tenzij bestanden versleuteld zijn met sleutels die niet op het systeem zelf staan, kun je als admin overal bij (zie http://technet.microsoft.com/en-us/library/cc722487.aspx#EFAA).

Enkele voorbeelden van manieren waarop je, als gewone gebruiker, toch bij die hashes zou kunnen komen:
- Een admin heeft een backup van (delen van) het register onversleuteld ergens op een schijf laten staan waar jij toegang toe hebt, of je krijgt een onversleuteld backup medium te pakken;
- Je kunt het netwerk sniffen en backups gebeuren onversleuteld via het netwerk;
- Je kunt fysiek bij de computer (zie http://technet.microsoft.com/en-us/library/cc722487.aspx#EIAA).

Conclusie voor de TS:
- Als jij wel admin rechten hebt (d.w.z. lid van de groep Administrators of Backup Operators bent) op die server kun je eigenlijk overal bij (behalve versleutelde bestanden uitpakken waarvan de sleutel zich niet ergens leesbaar op de schijf bevindt). Bijv. met "net user Piet geheim" wijzig je het wachtwoord van Piet in "geheim" waarna je als Piet kunt inloggen, mailen etc.;
- Als jij geen admin rechten hebt, gaan tools als fgdump jou (op een redelijk beveiligd systeem) niet helpen om toch bij gegevens te komen. Wel kun je veel bestanden lezen en zelf programma's starten (vaak inclusief regedit.exe), maar op een goed beveiligd systeem zul je bijv. onder C:\Program Files\ (en in mappen die bij meerdere gebruikers in PATH staan) geen schrijfrechten hebben en geen zaken kunnen lezen die jou echt niets aangaan.

Enkele tips voor admins:
- Geef gebruikers zoals de TS niet de rechten om vertrouwelijke gegevens waaronder de SAM uit te kunnen lezen (maak hem geen admin);
- Scherm alle locaties goed af waar gebruikers buiten het Windows rechtensysteem om bij gevoelige gegevens kunnen komen;
- Hou je systeem gepatched (denk aan privilege escalation aanvallen);
- Hoed je voor trojans die door gebruikers geplant kunnen zijn (Google bijv. naar: binary planting);
- Log bij voorkeur nooit in op PC's met je domain admin account, zeker niet op PC's van gebruikers die je niet 100% vertrouwt.

@Bitwiper: Bedankt voor de informatie. Erg bruikbaar voor systeembeheerders.

Soms is de beveiliging erg eenvoudig opgezet. Je achterhaalt het wachtwoord van het locale Administrator account van de werkplek. Vervolgens log je in met hetzelfde wachtwoord als Domain Administrator.