Старый 31.08.2010, 01:14   #1
destiny
 
Аватар для destiny
 
Регистрация: 11.08.2010
Сообщений: 243
Репутация: 80
По умолчанию SAM и похожее из cmd

Есть хост, к порту привязан cmd.exe. Ось - Windows 7 x64. Пользователь - админ.
Вопросы:
1) Где находятся (в C:\windows\system32\config только папки Journal,RegBack,systemprofile,TxR) и можно ли стандартными средствами скопировать файлы SAM?
2) Можно ли стандартными средствами скопировать NTUSER.dat?
3) Нельзя ли не вылезая из cmd скачать файл из инета? (script host ведь наверняка умеет, а из командной строки скрипты ведь можно запускать, не пугая пользователя?)
4)Пытаюсь посмотреть точки восстановления:
Код:
>takeown /F "System Volume Information"

SUCCESS: The file (or folder): "C:\System Volume Information" now owned by user "имя".

>cacls "System Volume Information" /G Everyone:F
Are you sure (Y/N)? Y
processed dir: C:\System Volume Information

>cd "System Volume Information"
>dir /a
//тут вижу список точек восстановления
>takeown /F "{гуид}{гуид}"
ERROR: Access is denied.
>cacls "{гуид}{гуид}"
C:\System Volume Information\{гуид}{гуид}
Access is denied.
В чём ошибка?

Спасибо.
destiny вне форума   Ответить с цитированием
Старый 31.08.2010, 09:24   #2
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

admin не имеет доступа к sam, тебе нужны права system

Классический метод переноса файлов - tftp. Тебе понадобится соответствующий сервер.
tipsy вне форума   Ответить с цитированием
Старый 31.08.2010, 10:00   #3
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Если ты админ, то ветки security и sam (и все остальные) можно экспортировать вот так:
reg SAVE HKLM\SECURITY security.hive
Вместо security соответственно еще нужны обычно HKLM\SYSTEM и HKLM\SAM

Доставать хэши из них потом вот этим:
http://code.google.com/p/creddump/
Или комплектом bkhive/samdump2

NTUSER.dat залогиненного юзера можно экспортировать также (тут не помню - простым админом делается, или SYSTEM нужно), - сначала узнаешь его uid: reg query HKEY_USERS, а затем экспорт ветки:
reg save HKEY_USERS\S-1-5-21-1680525977-1556112640-525681641-1000 c:\windows\temp\1000.hive
Жирным выделен номер юзера из sam.

По теме почитать, со списком ОСей, на которых работает и нет: http://blog.metasploit.com/2009/12/exporting-registry-for-fun-and-profit.html
SynQ вне форума   Ответить с цитированием
Старый 01.09.2010, 10:29   #4
st0101
 
Регистрация: 01.09.2010
Сообщений: 1
Репутация: 0
По умолчанию

3) Нельзя ли не вылезая из cmd скачать файл из инета? (script host ведь наверняка умеет, а из командной строки скрипты ведь можно запускать,

ftp не ?

http://www.sysman.ru/index.php?showtopic=12195
http://www.winblog.ru/net/1147765001-08020803.html
st0101 вне форума   Ответить с цитированием
Старый 01.09.2010, 10:42   #5
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Кстати, подскажите, кто знает.
ftp.exe уже научился работать в пакетном режиме?
tipsy вне форума   Ответить с цитированием
Старый 01.09.2010, 10:51   #6
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

типо да
Pashkela вне форума   Ответить с цитированием
Старый 01.09.2010, 19:57   #7
destiny
 
Аватар для destiny
 
Регистрация: 11.08.2010
Сообщений: 243
Репутация: 80
По умолчанию

SynQ, спасибо.
Я правда не понял зачем юзать специальные тулзы, когда reg save hklm\sam и так (как я понимаю) сохраняет сам sam файл в связи с этим самым маппингом файлов в реестр, и SAMInside отличо его проглатывает.
reg save hkcu кстати тоже работает, сид может пригодиться только для соседних пользователей.
И ещё насчёт тулз - эти дампы отлично подгружаются в свой реестр в указанный ключ reg'ом/regedit'ом Правда, видимо, формат дампов семёрки и xp отличается.

>ftp не ?
не, http хочется Опосредованно и так возможность есть. Видимо проще что-то вроде wget'а под винду один раз скачать... Но всё-таки я верю в мощь PowerShell
//edit: уже правда интересно только теоретически

а насчёт вопроса 4 мне всё-таки интересно
destiny вне форума   Ответить с цитированием
Старый 03.09.2010, 17:58   #8
destiny
 
Аватар для destiny
 
Регистрация: 11.08.2010
Сообщений: 243
Репутация: 80
По умолчанию

И ещё один вопросик - если есть установленное подключение к соседнему компьютеру (а именно есть сетевой диск V: подключённый к ресурсу \\192.168.0.1\Share) -- то можно ли узнать, с каким именем/паролем производилось подключение?
destiny вне форума   Ответить с цитированием
Старый 04.09.2010, 12:54   #9
SpangeBoB
 
Аватар для SpangeBoB
 
Регистрация: 05.07.2010
Сообщений: 49
Репутация: 14
По умолчанию

Цитата:
Сообщение от destiny Посмотреть сообщение
И ещё один вопросик - если есть установленное подключение к соседнему компьютеру (а именно есть сетевой диск V: подключённый к ресурсу \\192.168.0.1\Share) -- то можно ли узнать, с каким именем/паролем производилось подключение?
http://www.nirsoft.net/utils/network_password_recovery.html
SpangeBoB вне форума   Ответить с цитированием
Старый 04.09.2010, 20:22   #10
destiny
 
Аватар для destiny
 
Регистрация: 11.08.2010
Сообщений: 243
Репутация: 80
По умолчанию

Цитата:
Сообщение от SpangeBoB Посмотреть сообщение
http://www.nirsoft.net/utils/network_password_recovery.html
Пробовал её. Не работает То есть, не выводит.
destiny вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot