Armetiz

L’objectif est simple, pourrir la vie d’un utilisateur Windows.

En pré-requis

• Vous devez avoir accès à un compte local sur l’ordinateur de votre victime. Ce compte doit être membre du groupe Administrateurs local.
gestion des MMC en générale.
• Comme nous allons travailler à distance, il vous faut connaitre l’adresse IP du pauvre malheureux.

Phase 0 : La prise de la bastille

Alors que cela est un pré-requit pour l’article, voici quelques astuces pour avoir accès à la session administrateur de votre victime et ainsi créer un autre compte d’administration dont vous connaissez le mot de passe.

• Le plus simple est d’aller sur le PC de votre pigeon cible lorsque celui-ci ira faire un pipi et qu’il aura oublié de verrouiller sa session.
• S’il dispose d’une authentification par reconnaissance faciale, prenez une photo
• Si vous avez du temps, et que vous pouvez démarrer à partir d’un CD ou d’une clé USB, utiliser OphCrack

Phase 1 : Le camouflage

Nous allons commencer par nous rendre invisible ! Par défaut, Windows affiche la liste des utilisateurs locaux de la machine avant l’ouverture de session.
Sous Windows XP et Vista, vous pouvez suivre le petit tutoriel sur Generation-NT. Sous Windows 7, il suffit de rajouter un $ à la fin du compte utilisateur pour le camoufler.

Phase 2 : Début des hostilités

Ouvrir la MMC Editeur d’objets de stratégie de groupe..

Le mieux, c’est que vous cherchiez dans les options… C’est assez intuitif, et facilement modifiable.
Voici quelques exemples :

• Supprimer l’affichage des disques durs dans le poste de travail.
• Bloquer le volume au minimum
• Empêcher l’accès au panneaux de configuration
• Changer le fond d’écran.

Phase 2 : Après avoir poser les pièges, on joue!

Pour pouvoir appliquer les modifications sur les Stratégie de groupe, il faut que votre victime redémarre son ordinateur.
Deux possibilités, soit vous êtes patient, soit vous ne l’êtes pas…
Nous, on est des ouf ! Nous allons donc forcer le redémarrage de la machine. Pour cela, télécharger l’outil PsExec développé par Windows.

PsExec est un substitut léger à Telnet qui vous permet d’exécuter des processus sur d’autres systèmes, avec une interactivité totale pour les applications de console, sans avoir à installer manuellement le logiciel client.

psexec \\ip-victime -u compteAdmin -p passwordAdmin shutdown -t 30

Là où vous achevez votre œuvre, commence les déboires pour votre victime. Celui-ce verra en effet une boite de dialogue avec un jolie message « Il vous reste 30 secondes avant extinction de votre ordinateur ».

Phase 3 : Détournement

Amusez-vous à supprimer ses nouveaux films dans le répertoire Film. Attention, il faut être prudent et le faire uniquement lorsque celui-ci dispose d’une bonne collection. Quelques films supplémentaires passeront bien plus discrètement.

Un conseil, pensez au série. Si vous le savez Fan de Lost, supprimer le dernier épisode alors qu’il ne l’a pas encore vu, et vous pouvez être sur qu’il voudra le voir dans la soirée ou le weekend :p

Si quand vous allez sur Google vous voyez une grosse vidéo bien dégueulasse ? Vous gueuleriez.. Alors qu’attendons nous ?
Ouvrez le fichier host de votre victime.

\\ip-victime\C$\Windows\System32\drivers\etc\hosts

url_salase     google.fr

Lorsque nous avons testé cette technique, nous avons monter un serveur Apache sur une machine locale, et en page d’accueil nous avions une vidéo fullscreen assez underground.

Sans accès

Si vous ne disposez pas d’accès administrateur à la machine,

Vous pouvez jouer un peu. Lorsque l’utilisateur verrouille sa session, appuyez sur les touche « Alt + Shift ». Cela a pour effet de passer le clavier de « Fr » à « En », et donc Azerty vers Qwerty.
Lorsque l’utilisateur voudra se reconnecter, il mettra un peu plus de temps que d’habitude

PS : L’article était en brouillon sur mon blog depuis 2008. Excuse moi pour le style adolescent.

Il existe un outil de statistique/évènement graphique intégré à Windows 2008 Serveur.

Ici, nous allons voir un outil en ligne de commande qui restitue peu d’informations, mais qui peu être utilisé rapidement et sur les versions Windows Server Core Edition.

Il s’agit de net statistics server.
Voici la sortie de cette commande.

Statistiques depuis 27/04/2010 20:20:14

Sessions acceptées
Déconnexions automatiques
Déconnexions sur erreur

Kilo-octets envoyés
Kilo-octets reçus

Temps de réponse moyen (ms)

Erreurs système
Violations d’autorisation
Violations de mot de passe

Fichiers utilisés
Périphériques comm. utilisés
Travaux d’impression mis en file d’attente

Saturation des zones tampon

Cette commande existe aussi pour les stations de travail : net statistics workstation.

L’article a été mis à jours le 14 Avril 2010.

Si vous recherchez une entreprise de maintenance informatique proposant des services de qualité pour un faible coût, je vous conseille de contacter Turnaway.fr.

Lorsque l’on allume son ordinateur équipé de Windows 7, il arrive que l’on ne puisse pas accéder à Internet alors que tout les autres ordinateurs fonctionnent parfaitement.
Les configurations réseaux sont fournies par un serveur DHCP correctement configuré et testé depuis longtemps.

Les syndromes

Des messages : Réseau non identifié ou Pas d’accès Internet

Ce qui est étrange sur le screenshot ci-dessus, c’est qu’il existe deux « réseaux » sur une seule connexion physique alors qu’il s’agit d’une configuration réseau standard.

L’explication

L’explication se situe au niveau de la table de routage IPv4.

En effet, nous remarquons à travers la table de routage qu’il existe deux routes par défaut. A la limite, cela peut arriver, mais avec une métrique identique cela risque de ne pas fonctionner correctement.

La solution 1 – Temporaire

Voici la solution que j’utilise :
Supprimer les routes par défaut; avec un Invité de commande lancé avec les droits d’administrateur :

route DELETE 0.0.0.0

relancer la découverte DHCP

ipconfig /renew

La solution 2 – Permanente

A ceux qui ont le problème, avez-vous un logiciel Adobe ? Comme Photoshop CS3 ou Flash CS3 ? Si oui, nous avons trouver le fautif !
Adobe CS3 installe un logiciel de découverte réseau basé sur le protocole Bonjour de Apple. Celui-ci lui permet de trouver les serveurs Version Cue qui sont à proximités.

Pour plus d’information sur l’utilisation de Bonjour par Adobe CS3, voici une TechNote en anglais.

Le logiciel est installé sous forme de service ce qui nous permet de le désactiver simplement.

Pour désactiver le service :

• Aller dans le gestionnaire de service : services.msc
• Clique droit sur « la chose » qui commence par ##Id_String1….##, allez dans les propriétés
• Pour Type de démarrage, sélectionner Désactivé

En redémarrant votre ordinateur, vous ne devriez plus avoir le problème.

Nous pouvons signifier que le problème ne touche que les utilisateurs de Adobe CS3 et Windows 7.
Cela s’explique par une implémentation différente de Bonjour au sein de Adobe CS4 et supérieur.

Mise en situation :

• Migration d’un parc informatique d’un domaine LYON qui n’existe plus
• Un domaine de niveau fonctionnel 2000 mixte au FDQN : formation.local
• Un serveur DNS intégré à Active Directory et configuré lors du DCPROMO
• Un parc informatique assez homogène avec des clients Windows XP

Le problème :

Nous passons l’ensemble des postes sous FORMATION. Et nous rencontrons un problème à partir du troisième poste “Erreur lors d’une tentative de jonction au domaine FORMATION”. Certains postes fonctionnent et d’autres non.

Solutions potentielles

Après moult vérifications et tentatives, rien n’y fait, jusqu’au moment où « Victoire ! »
Voici le résultat de nos recherches, et donc les points qui sont à vérifier si vous rencontrez ce problème.

• Si le nom de l’ordinateur est présent dans « Computers » sur l’AD, supprimez le. Théoriquement cela ne pose pas de soucis, mais il peut s’avérer que dans la pratique ce ne soit pas pareil.
• Dans la boite de saisie du nom de domaine, assurez vous d’utiliser le nom DNS et non NetBIOS. Pour nous, cela sera formation.local au lieu de FORMATION. Dans le cas où la configuration NetBIOS ai été modifiée sur votre réseau.
• Videz votre cache DNS grâce à la commande ipconfig /flushdns. Faire l’ajout du poste client dans le domaine même si vous savez qu’il va échouer. Vérifiez votre cache DNS grâce à la commande ipconfig /displaydns. Vous devriez avoir une réponse sur _ldap._tcp.dc._msdcs.formation.local vers le FQDN de votre contrôleur de domaine. Si la résolution de nom n’a pas fonctionné, vérifier vos paramètres au niveau du serveur DNS.
• Au niveau des Firewall, le port 445 doit être ouvert entre le client et le DC.
• Microsoft a publié une KB. Personnellement la modification des clés de registre n’a rien changé. Mais certains utilisateurs ont été contant de trouver cette astuce.
• Vérifiez l’activation du service “Assistant TCP/IP NetBIOS“. Cela à réglé le problème chez nous. Et c’est d’ailleurs pour moi un grand mystère. Si quelqu’un a une explication a proposer, je suis preneur.

Raccourcis

Voici une petite liste de raccourcis pour aller plus vite et vous la péter devant vos copains les administrateurs :p

• sysdm.cpl Propriétés Systèmes et ajouter le poste au domaine (serveur / client)
• ncpa.cpl Panneau d’administration des cartes réseaux (serveur / client)
• dsa.msc Gestion des utilisateurs d’Active Directory (serveur)
• services.msc Gestion des services de la machine (serveur / client)
• compmgmt.msc Gestion locale de l’ordinateur (serveur / client)
• ipconfig /displaydns Affiche le cache DNS (Il contient aussi le contenu du fichier C:/Windows/System32/Drivers/etc/host)
• ipconfig /flushdns Vide le cache DNS
• nbtstat -c Affiche le cache NetBIOS
• nbtstat -R Vide le cache NetBIOS

PS : Cette article a été re-publié suite à un crash de la base de donnée.

Comme vous pouvez le voir sur le screenshot ci-dessus, lorsque vous voulez supprimer Google Chrome de votre poste, on vous pose une question ultime « Avons-nous dit quelque chose qui vous a déplu ? »

Comme quoi, même si Google a tué Bambi et qu’il discrimine ses concurrents , on ne peut pas dire qu’il ne prend pas soin de nous.

Depuis le 9 Janvier, EasyPHP est disponible en version 3.
Cela faisait très longtemps que l’équipe avait laissée le développement à la dérive, et nous étions bloqué sur une version 2.0beta.

Les informations sur cette nouvelle version sont inexistantes, on peut penser qu’il s’agit surtout d’un nouveau package de version.

• Apache : 2.2.1
• PHP : 5.2.8
• MySQL : 5.1.30
• PhpMyAdmin : 3.1.1
• SQLiteManager : 1.2.0

EasyPHP n’étant plus maintenu à jours, beaucoup d’utilisateur sont passés à Wamp qui était et est toujours régulièrement mis à jours.

Étant un ancien aficionados EasyPHP, je suis bien contant de le savoir à nouveau dans la course.

Ce matin en arrivant sur mon lieu de travail, je pensais allumer mon Pc, mais non, il était déjà allumé.

On appuie sur un touche pour sortir de la mise en veille, et l’ordinateur que l’on pensait avoir éteint la veille est resté allumé toute la nuit, session ouverte.

La faute à quoi ? A un programme qui n’a pas réussi à se tuer correctement…

Que j’aime Windows de bon matin.

What the fuck ?
Existerai-t'il un bug sous Windows Vista ? Un bug critique ?

En tout cas, l'utilisation de deux touches simultanément peuvent faire crasher votre système.
Deux touches qui sont utilisées assez régulièrement pour plusieurs d'entre nous.
« Windows + E » : pour ouvrir l'explorateur.

Essayer de rester appuyer dessus 10 à 15 secondes, et observer… Votre système va ouvrir des explorateurs, encore et encore… La seul solution trouvée, c'est le « hard reboot ».

Bug testé sur Vista SP1 mis à jours régulièrement.

Le schéma Active Directory stocke la définition de tous les objets d’Active Directory (ex : nom, prénom pour l’objet utilisateur).
Il n’y a qu’un seul schéma pour l’ensemble de la forêt, ce qui permet une homogénéité de l’ensemble des domaines.

Le schéma comprend deux types de définitions :
- Les classes d’objets : Décrit les objets d’Active Directory qu’il est possible de créer. Chaque classe est un regroupement d’attributs.
- Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs classes (ex : Description).

Le schéma est stocké dans la base de données d’Active Directory ce qui permet des modifications dynamiques exploitables instantanément.
Pour pouvoir gérer le schéma, il faut activer une dll sur votre serveur pour pouvoir utiliser la fiche dans votre mmc.
Commande pour activer le dll : regsvr32 schmmgmt.dll
Ensuite : mmc, et ajouter une fiche, la gestion du schéma sera présente.