Nantes Hardware
Connectes toi !

Connaitre une session admin sous un pc client entreprise ?

Page 1 sur 2 1, 2  Suivant

Aller en bas

Connaitre une session admin sous un pc client entreprise ?

Message par Zeitoon le Dim 24 Aoû 2008 - 13:40

J'aurais juste besoin de droits admin 5 minutes pour installer la derniere version de flash player.

Mes droits ne me premeetent pas de le faire. Comment palier a ce pb ?
avatar
Zeitoon
Administrateur
Administrateur

Nombre de messages : 31796
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Dim 24 Aoû 2008 - 16:16

euhh normalement sur xp tu fait lors du login CTRL SUPPR SUPPR (pas sur de moi) et là tu te log avec le compte admin
avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par nico44z le Dim 24 Aoû 2008 - 16:18

zeitoon demande s'il y a moyen de l'installer sans posséder le log d'un compte admin.
je vois pas trop comment faire ...
avatar
nico44z
Coadmin
Coadmin

Nombre de messages : 19971
Localisation : saint seb

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Dim 24 Aoû 2008 - 16:20

ahh y'a pas moyen alors
avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Zeitoon le Dim 24 Aoû 2008 - 16:54

Y'a pas moyen de pirater le compte admin ?

Y'a bien une trace de ca sur les pc...
avatar
Zeitoon
Administrateur
Administrateur

Nombre de messages : 31796
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par robin44 le Dim 24 Aoû 2008 - 17:09

Si c'est possible. Il faut que tu utilises un utilitaire qui se lance sous DOS et qui permet de réinitialiser le mot de passe du compte admin. Tu peux trouver ça sur le "Ultimate boot CD" qui est un CD bootable.


Wink
avatar
robin44
Modérateur
Modérateur

Nombre de messages : 6577
Localisation : Missillac

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Dim 24 Aoû 2008 - 17:39

sous linux en tout les cas c'est possible ^^
avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Dim 24 Aoû 2008 - 17:48

sinon je viens de trouver ça sur gogol, mais je sais pas si ça marche

Il va suffire de démarrer le PC sur une version (réduite) de LINUX (mais oui!), contenant un programme (chntpwd) qui sait accéder à la base de données SAM (Security Account Manager:Qui garde toutes les coordonnées du type) située dans la partition système de NT, et permettre ainsi de définir un nouveau mot de passe pour l'administrateur (ou n'importe quel autre utilisateur).

Donc il faut télécharger ce fichier :
bd050303.zip (1.4 Mo) sur ce site : http://ntpass.blaa.net/

et éventuellement, en cas de disques SCSI :
sc050303.zip (1.4 Mo)
http://ntpass.blaa.net/

Les décompresser (avec Winzip, Winrar,...) , ce qui donne les fichiers suivants :

bd050303.bin (ou éventuellement une autre extension suivant les versions)
le nom du fichier et son extension n'ont AUCUNE importance!
Ce fichier est une image (binaire) de disquette bootable 1.44 Mo
rawrite2.exe
C'est un utilitaire DOS (16 bits) servant à copier secteur par secteur l'image sur une disquette.
Il fonctionne sous DOS et toute version de Windows (9x, NT4, 2000, XP, 2003)
install.bat
C'est un script qui lance rawrite2 avec les paramètres appropriés.

Cette disquette est au format FAT, donc accessible sous DOS ou Windows ;-)
Voilà, j'espère que c'est bien ton Pc, et je dégage toute resposabilité quant à l'utilisation frauduleuse de cette méthode !
avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Remuald le Dim 24 Aoû 2008 - 17:51

il est possible de passer en mode admin, en tapant des commandes dans la console cmd Wink tout simplement

mais je me souviens plus des commandes Sad

sinon je peut te filer par mp un mini iso pour passer en admin avec linux
http://sd-1.archive-host.com/membres/up/1602262418/NHFR/Windows_Admin_Hack_-_Linux_Boot.rar


Dernière édition par Remuald le Dim 24 Aoû 2008 - 17:58, édité 1 fois
avatar
Remuald
Coadmin
Coadmin

Nombre de messages : 31630
Localisation : anywhere

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Dim 24 Aoû 2008 - 17:54

euhh sinon jviens de trouver un truc interressant lien
avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par yavka le Dim 24 Aoû 2008 - 22:04

Pour un problème aussi simple, la réponse c'est JCB : JC Bellamy
En plus de(s) l'utilitaire(s), il y a la notice Cool

A noter quand même que, en bon administrateur système, si on n'autorise pas l'installation de logiciels (donc pas de droits d'amin ...), on pense aussi à désactiver le boot sur support amovible geek et on ferme les boitiers à clés.

Voilà ! C'était le petit mot du parrano.

P.S. : Pendant que j'y pense, de mémoire, les powers users ont le droit d'installation puisqu'il s'agit simplement d'enregistrer le fichier OCX (avec regsvr32). Par contre, il y a 4-5 semaines, il fallait aussi ajouter un patch de sécurité car FP9 avait déjà une bonne faille de sécurité jocolor et lui s'installe avec les droits d'admin ...
avatar
yavka
NHFR member
NHFR member

Nombre de messages : 1023
Localisation : Nantes

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Dim 24 Aoû 2008 - 23:18

avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Akashhha le Lun 25 Aoû 2008 - 0:18

Cain c'est de la daube fait comme a dit robin, ça marche très bien et c'est super facil..
avatar
Akashhha
Moddeur de consoles
Moddeur de consoles

Nombre de messages : 345
Localisation : A côté de savenay ;)

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Lun 25 Aoû 2008 - 0:39

y'a encore un moyen, qui necessite rien, sauf au moins ouvrir un prompt sur sa sassion Very Happy


Executer un prompt (démarrer->executer->cmd)
Taper la commande suivante at 11:30 /interactive "cmd.exe" où 11:29 est l'heure actuelle + 1 ou 2 minutes
Killer le processus en tapant killing explorer.exe
Patienter un peu, et à l'heure que vous avez saisi précédemment, vous aurez le bureau de l'administrateur local normalement, je dis bien normalement
avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par grx le Sam 30 Aoû 2008 - 15:39

monster a écrit:y'a encore un moyen, qui necessite rien, sauf au moins ouvrir un prompt sur sa sassion Very Happy


Executer un prompt (démarrer->executer->cmd)
Taper la commande suivante at 11:30 /interactive "cmd.exe" où 11:29 est l'heure actuelle + 1 ou 2 minutes
Killer le processus en tapant killing explorer.exe
Patienter un peu, et à l'heure que vous avez saisi précédemment, vous aurez le bureau de l'administrateur local normalement, je dis bien normalement

C'est pas exactement ça:
En faisant lançant cette commande AT, on planifie l'ouverture d'une fenêtre de commandes DOS à l'heure dite.
Cette planification est gérée par le service "planificateur de taches" de windows.
Or comme ce service est lancé par le compte SYSTEM, on a donc une fenêtre de commandes DOS appartenant au compte systeme local de windows lui-même (compte normalement inacessible par ouverture de session).

A partir de cette fenêtre, on peut donc killer le processus explorer de l'utilisateur, et en relancer un autre qui appartiendra au compte SYSTEM (et non pas administrateur )qui a le droit de faire a peu près tout sur la machine.

Cool, me direz-vous: hé bien non! parce que la commande AT ne peut être utilisée que par un compte disposant déjà des droits administrateur sur la machine Very Happy (vous pouvez tester).

Quant au boot sur une mini ditrib Linux: ca permets de virer ou de changer le mot de passe, pas de l'outrepasser : ça se verra donc tôt ou tard.
avatar
grx
Modérateur
Modérateur

Nombre de messages : 458
Localisation : Basse Goulaine

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Zeitoon le Sam 30 Aoû 2008 - 21:10

mince.
avatar
Zeitoon
Administrateur
Administrateur

Nombre de messages : 31796
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par monster le Sam 30 Aoû 2008 - 22:18

ahh je pensais que ça marcherai mon truc ^^'
avatar
monster
NHFR All Stars
NHFR All Stars

Nombre de messages : 9019
Localisation : sainte pazanne

http://www.yark.fr/

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par zekroustibat le Mer 10 Sep 2008 - 22:18

Si c'est un poste d'une entreprise, la seule methode (je parle de methode propre qui ne laisse aucune trace, pas de changement de mot de passe, pas de crackage en tout genre, pas de brute force sur les passwords....), c'est d'ajouter ton compte au groupe administrateur local, juste le temps de la manip.
Cela peut se faire en offline en editant la base sam

Autre solution, activer une session explorer sous le compte system, idem, possible de le faire via un passage en offline.
avatar
zekroustibat
Visiteur

Nombre de messages : 97
Localisation : nantes centre

http://zekroustibat.blogspot.fr

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Zeitoon le Ven 12 Sep 2008 - 8:47

Bah dis moi comment car ca m'interesse...
avatar
Zeitoon
Administrateur
Administrateur

Nombre de messages : 31796
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par zekroustibat le Ven 12 Sep 2008 - 10:14

Zeitoon a écrit:Bah dis moi comment car ca m'interesse...


Il existe des moyens plus simple, je le sais, ce post est la pour fournir de la documentation et partager la connaissance.


Petite precision : on va jouer avec le registre, si cela pose pb, je peux faire une demo sur nantes.
Voir http://www.nhfr.org/boites-a-idees-f14/mini-asso-pour-regler-les-pb-sur-nantes-autour-d-un-cafe-t2578.htm

Le principe: Editer le registre en offline (le CD de Petter Nordahl-Hagen's fera l'affaire, il contient beaucoup de pilote pour les disques et utilise depuis peu NTFS-3g). Le groupe admin local du systeme est defini ici :



La clef "C" indique les options du groupe



Pour simplifier l'explication je fais un export de cette clef :

Code:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\00000220]
"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,38,00,00,00,\
02,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ............. 65,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,49,64,f8,\
9f,b4,74,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
  49,64,f8,9f,b4,74,eb,03,00,00

Je coupe un peu pour plus de clarté...voilà

Ce qu'il faut voir la-dedans....
Dans mon exemple j'ai un compte "user" dans le groupe administrateur et evidemment le compte "administrateur", en option, on retrouve aussi les comptes de domaine....(pour le cas Zeitoon)
Une reference de compte utilise 28 bloques hexa...Tres important pour la suite...
Ex: voici le compte "user"

Code:
01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
  49,64,f8,9f,b4,74,eb,03,00,00

A noter: les 4 derniers bloques :

Code:
eb,03,00,00

C'est l'alias du compte "user" (son RID) dans mon exemple
Tout comme :

Code:
f4,01,00,00

est l'alias (le RID) du compte administrateur....

L'identification de l'administrateur se fait avec son SID, pour le compte administrateur intégré par exemple, c'est :

Code:
S-1-5-21-SID-500

la derniere partie : "500" represente son RID, c'est toujours le meme.

En hexa "500" donne "1F4"...

Donc si je reprends "S-1-5-21-SID-500" donne en hexa :

Code:
01,05,00,00,00,00,00,05,15,00,00,00,xx,xx,xx,xx,xx,xx,xx,xx,xx,xx,xx,xx,
F4,01,00,00

Mon compte "user" a donc un RID de "1003"

Et le plus important :
Le SID, qui est en fait l'ID de domaine, dans mon cas, sur ma machine, c'est :

Code:
8a,a7,32,3f,18,51,49,64,f8,9f,b4,74

Dans le cas de Zeitoon, ton compte est je suppose un compte de domaine Active Directory, donc tu dois avoir dans la clef "C" le groupe "Admins du domaine", qui a l'ID du domaine....

Prenons maintenant un compte, utilisateur standard... bah oui le pauvre, il peut pas faire grand chose sur la machine Pleure
il s'appelle "toto" Welcome dans mon exemple (deformation professionnelle, je suis instructeur...), mais bon son nom nous importe peu, bien que.....

Il veut les droits d'admin...

Mr Toto tongue possede le RID 1004



3EC en hexa c'est 1004 en decimal

Pour le cas Zeitoon, pour trouver ton SID complet (donc ton RID) tu as des utilitaires sur internet pour lire ton jeton une fois authentifié, meme un compte invité peut le faire....

Donc, une fois que l'on a ça, on peut en déduire la version hexa du SID de toto bounce :

Code:
01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
  49,64,f8,9f,b4,74,ec,03,00,00

J'ajoute donc a ma clef "C", les 28 bloques du SID de "toto", ce qui donne :

Code:
"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,38,00,00,00,\
02,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
65,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,49,64,f8,\
9f,b4,74,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

Ensuite, il faut modifier le nombre d'appartenance au groupe, et c'est ici que ça se passe :

Code:
"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
..............
02 <==== ici
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

A l'offset 30 de la clef "C"

J'avais 2 membres dans mon groupe, maintenant j'en ai 3, donc :

Code:
"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,38,00,00,00,\
03,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

L'offset 30 passe de "02" à "03"

The Final....

Il reste juste un petit truc a regler, le pseudo checksum qui se trouve ici :

Code:
"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,...........................juste la ======> 38,00,00,00,\
03,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

A l'offset 29 de la clef "C", dans mon cas il a pour valeur : 38

Humm 38 ??? c'est 19x2 ou encore 30+8..... scratch scratch
affraid Eureka !!! c'est aussi 1C x 2 en hexa
Et 1C en hexa ça fait...... 28 en decimal

Le revoilà ce 28.... donc maintenant que j'ai 3 users :
Code:
3 x 1C = 54

Donc ma clef "C" devient :

Code:
"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,54,00,00,00,\
03,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

Conclusion :

Il y a 3 modifications a faire :
1) j'ajoute a la suite le SID du user (local ou domaine)
2) je corrige le nombre de user (j'ajoute 1)
3) je corrige le pseudo checksum

Tout cela est reversible, et voilà, un administrateur de plus dans la machine !!!



Pour le cas de Zeitoon :
Ajout de mon compte de domaine dans le groupe administrateurs de la machine Very Happy



Dernière édition par zekroustibat le Ven 12 Sep 2008 - 17:00, édité 56 fois
avatar
zekroustibat
Visiteur

Nombre de messages : 97
Localisation : nantes centre

http://zekroustibat.blogspot.fr

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Mimi le Ven 12 Sep 2008 - 10:56

ben ouais bien sur ! Wink
avatar
Mimi
NHFR All Stars
NHFR All Stars

Nombre de messages : 9511
Localisation : Rezé

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Zeitoon le Ven 12 Sep 2008 - 11:03

je suis.
avatar
Zeitoon
Administrateur
Administrateur

Nombre de messages : 31796
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par zekroustibat le Ven 12 Sep 2008 - 12:02

Je fais une pause....
Besoin de me remplir le ventre.
Pour la suite :
- correction de 2-3 trucs avec ajout d'information
- création du SID complet (pour un compte local ou de domaine)
- intégration du compte dans le groupe admin
- correction des checksums
...
avatar
zekroustibat
Visiteur

Nombre de messages : 97
Localisation : nantes centre

http://zekroustibat.blogspot.fr

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Zeitoon le Ven 12 Sep 2008 - 13:01

Avoir un profil admin ca me va.
avatar
Zeitoon
Administrateur
Administrateur

Nombre de messages : 31796
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par robin44 le Ven 12 Sep 2008 - 13:18

Intéressant mais c'est quand-même plus simple de changer le mot de passe de l'admin local Laughing
avatar
robin44
Modérateur
Modérateur

Nombre de messages : 6577
Localisation : Missillac

Revenir en haut Aller en bas

Re: Connaitre une session admin sous un pc client entreprise ?

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Page 1 sur 2 1, 2  Suivant

Revenir en haut


 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum