Armetiz

L’objectif est simple, pourrir la vie d’un utilisateur Windows.

En pré-requis

• Vous devez avoir accès à un compte local sur l’ordinateur de votre victime. Ce compte doit être membre du groupe Administrateurs local.
gestion des MMC en générale.
• Comme nous allons travailler à distance, il vous faut connaitre l’adresse IP du pauvre malheureux.

Phase 0 : La prise de la bastille

Alors que cela est un pré-requit pour l’article, voici quelques astuces pour avoir accès à la session administrateur de votre victime et ainsi créer un autre compte d’administration dont vous connaissez le mot de passe.

• Le plus simple est d’aller sur le PC de votre pigeon cible lorsque celui-ci ira faire un pipi et qu’il aura oublié de verrouiller sa session.
• S’il dispose d’une authentification par reconnaissance faciale, prenez une photo
• Si vous avez du temps, et que vous pouvez démarrer à partir d’un CD ou d’une clé USB, utiliser OphCrack

Phase 1 : Le camouflage

Nous allons commencer par nous rendre invisible ! Par défaut, Windows affiche la liste des utilisateurs locaux de la machine avant l’ouverture de session.
Sous Windows XP et Vista, vous pouvez suivre le petit tutoriel sur Generation-NT. Sous Windows 7, il suffit de rajouter un $ à la fin du compte utilisateur pour le camoufler.

Phase 2 : Début des hostilités

Ouvrir la MMC Editeur d’objets de stratégie de groupe..

Le mieux, c’est que vous cherchiez dans les options… C’est assez intuitif, et facilement modifiable.
Voici quelques exemples :

• Supprimer l’affichage des disques durs dans le poste de travail.
• Bloquer le volume au minimum
• Empêcher l’accès au panneaux de configuration
• Changer le fond d’écran.

Phase 2 : Après avoir poser les pièges, on joue!

Pour pouvoir appliquer les modifications sur les Stratégie de groupe, il faut que votre victime redémarre son ordinateur.
Deux possibilités, soit vous êtes patient, soit vous ne l’êtes pas…
Nous, on est des ouf ! Nous allons donc forcer le redémarrage de la machine. Pour cela, télécharger l’outil PsExec développé par Windows.

PsExec est un substitut léger à Telnet qui vous permet d’exécuter des processus sur d’autres systèmes, avec une interactivité totale pour les applications de console, sans avoir à installer manuellement le logiciel client.

psexec \\ip-victime -u compteAdmin -p passwordAdmin shutdown -t 30

Là où vous achevez votre œuvre, commence les déboires pour votre victime. Celui-ce verra en effet une boite de dialogue avec un jolie message « Il vous reste 30 secondes avant extinction de votre ordinateur ».

Phase 3 : Détournement

Amusez-vous à supprimer ses nouveaux films dans le répertoire Film. Attention, il faut être prudent et le faire uniquement lorsque celui-ci dispose d’une bonne collection. Quelques films supplémentaires passeront bien plus discrètement.

Un conseil, pensez au série. Si vous le savez Fan de Lost, supprimer le dernier épisode alors qu’il ne l’a pas encore vu, et vous pouvez être sur qu’il voudra le voir dans la soirée ou le weekend :p

Si quand vous allez sur Google vous voyez une grosse vidéo bien dégueulasse ? Vous gueuleriez.. Alors qu’attendons nous ?
Ouvrez le fichier host de votre victime.

\\ip-victime\C$\Windows\System32\drivers\etc\hosts

url_salase     google.fr

Lorsque nous avons testé cette technique, nous avons monter un serveur Apache sur une machine locale, et en page d’accueil nous avions une vidéo fullscreen assez underground.

Sans accès

Si vous ne disposez pas d’accès administrateur à la machine,

Vous pouvez jouer un peu. Lorsque l’utilisateur verrouille sa session, appuyez sur les touche « Alt + Shift ». Cela a pour effet de passer le clavier de « Fr » à « En », et donc Azerty vers Qwerty.
Lorsque l’utilisateur voudra se reconnecter, il mettra un peu plus de temps que d’habitude

PS : L’article était en brouillon sur mon blog depuis 2008. Excuse moi pour le style adolescent.

Il existe un outil de statistique/évènement graphique intégré à Windows 2008 Serveur.

Ici, nous allons voir un outil en ligne de commande qui restitue peu d’informations, mais qui peu être utilisé rapidement et sur les versions Windows Server Core Edition.

Il s’agit de net statistics server.
Voici la sortie de cette commande.

Statistiques depuis 27/04/2010 20:20:14

Sessions acceptées
Déconnexions automatiques
Déconnexions sur erreur

Kilo-octets envoyés
Kilo-octets reçus

Temps de réponse moyen (ms)

Erreurs système
Violations d’autorisation
Violations de mot de passe

Fichiers utilisés
Périphériques comm. utilisés
Travaux d’impression mis en file d’attente

Saturation des zones tampon

Cette commande existe aussi pour les stations de travail : net statistics workstation.

Installer sur les portables Dell par défaut, le système de reconnaissance faciale FastAccessprésente un gros problème de sécurité.

Avec un simple appareil photo numérique de téléphone portable, nous avons réussi à usurper l’identité d’un utilisateur.

Cela pour dire que le mot de passe a encore de beaux jours devant lui.

Aussi, il y aura dans les prochains jours un article sur comment « pourrir » la vie d’un utilisateur sous Windows. Cela sera du grand art !

Depuis ce matin cela fait le tour de la toile, Google va sortir son système d’exploitation.

On s’y attendait fortement, mais jusqu’à ce matin nous n’avions aucune confirmation de Google.
En effet, il existe déjà un système d’exploitation made in Google: Android pour les unités mobiles.

Si vous voulez plus d’information: Blog Google, Techcrunch, Clubic, …
A la suite de ces lectures, on en retiendra que le système sera basé sur Linux, pensé avant tout pour fonctionner sur des Notebook, sera supporté par des processeurs x86 / ARM et disponible milieu de l’année 2010 (ce qui arrivera assez vite).

Maintenant, quelles en sont les retombées:
- Google est le centre d’internet pour une très grande majorité des Internautes du monde. Comparé a Microsoft, Apple et d’autres distributions Linux, Google dispose d’un support publicitaire gigantesque. Sachant que Windows 7 doit sortir aussi milieu 2010, je vous laisse imaginer le combat qu’il y aura dans nos magasins.
- Pour les aficionados de Linux, ce n’est pas une mauvaise chose car cela permettra de valoriser un peu plus le monde Libre.
- Déjà que Google tue des Bambis, sait qui est malade, connait nos problèmes médicaux, et qu’il est présent partout autours de nous, il sera aussi le support de nos données.
Le monopole Google est de plus en plus proche !

Plus besoin de chercher 2h pour trouver l’url du WebMessenger, Hotmail intègre maintenant le client Messenger sur la page principale de consultation des mails.

Les fonctions de Live Messenger 9 dont la connexion à plusieurs endroits en même temps sont implémentées. Par contre, l’utilisation du tchat n’est pas super pratique.

Mise en situation :

• Migration d’un parc informatique d’un domaine LYON qui n’existe plus
• Un domaine de niveau fonctionnel 2000 mixte au FDQN : formation.local
• Un serveur DNS intégré à Active Directory et configuré lors du DCPROMO
• Un parc informatique assez homogène avec des clients Windows XP

Le problème :

Nous passons l’ensemble des postes sous FORMATION. Et nous rencontrons un problème à partir du troisième poste “Erreur lors d’une tentative de jonction au domaine FORMATION”. Certains postes fonctionnent et d’autres non.

Solutions potentielles

Après moult vérifications et tentatives, rien n’y fait, jusqu’au moment où « Victoire ! »
Voici le résultat de nos recherches, et donc les points qui sont à vérifier si vous rencontrez ce problème.

• Si le nom de l’ordinateur est présent dans « Computers » sur l’AD, supprimez le. Théoriquement cela ne pose pas de soucis, mais il peut s’avérer que dans la pratique ce ne soit pas pareil.
• Dans la boite de saisie du nom de domaine, assurez vous d’utiliser le nom DNS et non NetBIOS. Pour nous, cela sera formation.local au lieu de FORMATION. Dans le cas où la configuration NetBIOS ai été modifiée sur votre réseau.
• Videz votre cache DNS grâce à la commande ipconfig /flushdns. Faire l’ajout du poste client dans le domaine même si vous savez qu’il va échouer. Vérifiez votre cache DNS grâce à la commande ipconfig /displaydns. Vous devriez avoir une réponse sur _ldap._tcp.dc._msdcs.formation.local vers le FQDN de votre contrôleur de domaine. Si la résolution de nom n’a pas fonctionné, vérifier vos paramètres au niveau du serveur DNS.
• Au niveau des Firewall, le port 445 doit être ouvert entre le client et le DC.
• Microsoft a publié une KB. Personnellement la modification des clés de registre n’a rien changé. Mais certains utilisateurs ont été contant de trouver cette astuce.
• Vérifiez l’activation du service “Assistant TCP/IP NetBIOS“. Cela à réglé le problème chez nous. Et c’est d’ailleurs pour moi un grand mystère. Si quelqu’un a une explication a proposer, je suis preneur.

Raccourcis

Voici une petite liste de raccourcis pour aller plus vite et vous la péter devant vos copains les administrateurs :p

• sysdm.cpl Propriétés Systèmes et ajouter le poste au domaine (serveur / client)
• ncpa.cpl Panneau d’administration des cartes réseaux (serveur / client)
• dsa.msc Gestion des utilisateurs d’Active Directory (serveur)
• services.msc Gestion des services de la machine (serveur / client)
• compmgmt.msc Gestion locale de l’ordinateur (serveur / client)
• ipconfig /displaydns Affiche le cache DNS (Il contient aussi le contenu du fichier C:/Windows/System32/Drivers/etc/host)
• ipconfig /flushdns Vide le cache DNS
• nbtstat -c Affiche le cache NetBIOS
• nbtstat -R Vide le cache NetBIOS

PS : Cette article a été re-publié suite à un crash de la base de donnée.

Sortie le 9 Avril 2009, VirtualBox 2.2.0 apporte surtout le support de OVF.
Cela va permettre l’échange de machines virtuelles d’un système à l’autre sans – normalement – trop de traqua.

Petite explication sur OVF :

Cette nouvelle spécification créée par Dell, HP, IBM, Microsoft, VMware, XenSource pour devenir un standard, devra permettre de garantir la portabilité, l’intégrité, et d’automatiser les phases d’installation/configuration des machines virtuelles.

Pour les utilisateurs de Windows, l’installation pose des problèmes au niveau de la gestion des cartes réseaux virtuelles.
En effet, lorsque l’on veux configurer une VM en mode “bridge/par pont”, VirtualBox ne trouve pas l’adaptateur réseau de votre machine Host.

Pour régler le problème, relancer l’installation de VirtualBox en choisissant l’option “Repair”.

PS : Cette article a été re-publié suite à un crash de la base de donnée.

Update 29 Avril 2009 : VirtualBox 2.2.2 est sortie en apportant quelques corrections de bugs

Depuis le 9 Janvier, EasyPHP est disponible en version 3.
Cela faisait très longtemps que l’équipe avait laissée le développement à la dérive, et nous étions bloqué sur une version 2.0beta.

Les informations sur cette nouvelle version sont inexistantes, on peut penser qu’il s’agit surtout d’un nouveau package de version.

• Apache : 2.2.1
• PHP : 5.2.8
• MySQL : 5.1.30
• PhpMyAdmin : 3.1.1
• SQLiteManager : 1.2.0

EasyPHP n’étant plus maintenu à jours, beaucoup d’utilisateur sont passés à Wamp qui était et est toujours régulièrement mis à jours.

Étant un ancien aficionados EasyPHP, je suis bien contant de le savoir à nouveau dans la course.

Ce matin en arrivant sur mon lieu de travail, je pensais allumer mon Pc, mais non, il était déjà allumé.

On appuie sur un touche pour sortir de la mise en veille, et l’ordinateur que l’on pensait avoir éteint la veille est resté allumé toute la nuit, session ouverte.

La faute à quoi ? A un programme qui n’a pas réussi à se tuer correctement…

Que j’aime Windows de bon matin.

Ophcrack est un logiciel qui permet de cracker les mots de passe Windows, il est basé sur une technique de Philippe Oechslin auteur de RainbowCrack.

Pour vous donner un exemple, le mot de passe Administrateur de mon système a été rendu visible en moins d’une minute, il contenait six lettres, un symbole, et deux lettres.. Alors que celui de l’utilisateur principal qui est composé de trois lettres, deux symboles et trois chiffres n’a pas été trouvé.
Le mot de passe administrateur a été trouvé grâce à la rainbowtable et non pas avec le brute force, qui est par défaut limité à 4 caractères (lettre, chiffre, symbole).

Quatre téléchargement possible, pour Windows XP ou Vista, en standalone ou en liveCD.

Bien évidement, la version standalone oblige à disposer d’un accès à une session active de Windows.
Alors que la version liveCD peut être exécutée par n’importe qui disposant d’un accès physique à la machine.

Ne disposant pas de CD vierge, je suis passé par une clé USB.

Tout cela n’est pas nouveau, et Windows ne fait rien pour enrailler cette grosse faille, Vista en est la preuve… Mais à défaut de ne pas pouvoir protéger correctement votre système, vous pouvez utiliser des mots de passe complexe pour passer à travers les tables de hashage, et augmenter la difficulté du bruteforce.

Car rappelons le, aucun système de sécurité n’est totalement efficace, ce n’est qu’une question de temps…

Update: OPHCrack vient de sortir une nouvelle version estampillée 3.4.0