Файл залипания клавиш. Восстановление пароля windows через виртуальную машину на примере win2k8. Каким образом сбрасывается пароль

Восстановление (сброс) пароля в Windows 7 и 8

Функционал залипания клавиш в Windows позволяет злоумышленнику вызвать командную строку с привилегиями администратора.

Исследователь под псевдонимом carnal0wnage опубликовал в своем блоге простой способ получения административных привилегий в Windows 7, Windows 8 и Windows Server 2008 R2 путём вызова системного шелла перед авторизацией в Windows.

Метод очень простой: нужно предварительно заменить в системе файл sethc.exe на файл cmd.exe .

copy /y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

Тогда при пятикратном нажатии Shift перед авторизацией в Windows запускается системная оболочка, в которой можно спокойно выполнять любые команды. Данный метод может быть полезен злоумышленнику\ислледователю)), который получил физический доступ к чужому компьютеру и хочет поработать с правами администратора.

Наиболее опасным в данной уязвимости является то, что командную строку с административными привилегиями можно вызвать даже в интерфейсе авторизации. С помощью открывшейся командной строки пользователь может ввести команду Explorer и получить доступ к графическому интерфейсу системы с повышенными привилегиями.

Для эксплуатации данной уязвимости злоумышленник должен получить физический доступ к компьютеру .

Как вариант, способ можно использовать для смены забытого пароля в системе Windows 7. Заменить файлы в системе можно без авторизации в Windows, если примонтировать диск c Windows к Linux-системе.

cp /mnt/sda3/Windows/System32/cmd.exe /mnt/sda3/Windows/System32/sethc.exe

Функция залипания клавиш (Sticky Keys) предназначена для пользователей, которым трудно нажимать две клавиши одновременно. Для активации этой функции нужно пять раз нажать Shift, тогда запускается соответствующий файл sethc.exe . Это действует даже до того, как пользователь ввёл пароль в Windows. Если заменить этот файл на cmd.exe , то запустится шелл с правами администратора.

Сброс пароля Windows 8

Вместо sethc.exe в 8ке используется Utilman.exe . Находится в левом нижнем углу на экране авторизации пользователя.

Делаем копию файла Utilman.exe и заменяем его:

1)copy с:\windows\system32\utilman.exe с:\

2)copy с:\windows\system32\ cmd .exe с:\windows\system32\utilman.exe

Перезагружаем, дожидаемся окна запроса пароля, нажимаем кнопку в левом нижнем углу экрана. cmd открылась.

Меняем пароль

net user пользователь пароль

Возвращаем файлы на место:

copy с:\utilman.exe с:\windows\system32\utilman.exe

В этой статье мы поговорим об интересном трюке в ОС семейства Windows, позволяющем выполнить любую команду с правами системы прямо на экране входа в Windows до прохождения процедуры авторизации. Данную процедуру, естественно, можно использовать в благих целях (например для быстрого сброса пароля администратора), но также ею могут воспользоваться злоумышленник, который после получения доступа к вашей системе, может оставить себе подобную консоль доступа, которую достаточно сложно детектировать. Сразу оговоримся, что это не классическая уязвимость или дыра, а просто кривизна архитектуры Windows.

Методика хака заключается в использовании функционала “Sticky Keys” (функция активации залипания клавиш, включаемая при пятикратном нажатии клавиши в Windows). Подменив исполняемый файл Sticky Keys — sethc.exe на любой другой файл, можно добиться того, чтобы вместо запуска утилиты включения залипания клавиши, запускалась нужная программа. Попробуем с использованием подобной методики запустить окно командной строки прямо на экране входа в Windows.

Методика подмены файл следующая (если система установлена в другой раздел, отличный от C:, подкорректируйте команды):

  1. Сделаем резервную копию файла, скопировав его в корень диска C: copy c:\windows\system32\sethc.exe c:\
  2. Заменим файл sethc.exe файлом командной строки, copy /y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

Еще один способ применения хака – установка отладчика для sethc.exe, это можно сделать командой:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

Затем перезагружаем систему и на экране входа в Windows пять раз нажимаем клавишу SHIFT, в результате чего запускается окно командной строки, которым мы заменили программу sethc.exe. Вся прелесть в том, что командная строка запускается с правами SYSTEM, тем самым мы получаем полный доступ к компьютеру и можем запустить что угодно, хоть оболочку Explorer!

Эта достаточно старая дыра в системе безопасности Windows, когда разнообразные системные приложения запускаются не из под ограниченной учетной записи, а из-под всемогущей SYSTEM. Подобный трюк будет работать и в Windows 7 и в Windows Server 2008 R2 и в Windows 8 Consumer Preview. И что особенно интересно, он сработает даже при терминальном подключении к серверу по RDP сессии (скрин ниже)!

Диапазон применения подобной методики подмены системных исполняемых файлов достаточно широк. Обезопасить свою систему можно, отключив залипание клавиш Sticky Keys на компьютере (это можно сделать через панель управления).

Сброс забытого пароля в Windows является очень востребован, так как после того как был успешно забыт пароль переустанавливать систему не очень хочется, да и времени нет. Поэтому будем пытаться, нет не вспоминать и не подбирать пароль, а просто заменим его на другой. Вообще существует несколько способов сбросить или заменить пароль, это с помощью:

  1. Утилит, программ (Offline NT Password and Registry editor);
  2. С помощью реестра (Включение учетной записи Администратора или правка пароля);
  3. С помощью подмены системных файлов (Нечестный способ, неправильный).

Во всех способах необходимо загрузится с загрузочного диска или диска восстановления системы. Я рассмотрю только третий вариант так как он является самым простым и быстрым, как мне кажется.

Смысл данного способа, получить доступ к консольной строке, при открытом окне запроса пароля пользователя (авторизации).

Итак в разных операционных системах разные меню и внешний вид, а принцип один и тот же, перезагружаем компьютер грузимся с диска восстановления, запускаем командную строку, и первое что нужно сделать это выяснить где у нас установлена система, а точнее папка WINDOWS на каком диске, как правило по умолчанию C или D, команда "DIR" поможет просмотреть список файлов и папок на диске.

Сброс пароля Windows 7

Здесь мы будем подменять файл sethc.exe (утилита отвечает за залипание клавиш, зажмите и держите долго Shift - появилось окно сообщения вот это оно).

sethc.exe

copy с:\windows\system32\sethc.exe с:\

Заменяем файл sethc.exe на cmd.exe (консольная строка)

copy с:\windows\system32\ cmd .exe с:\windows\system32\sethc.exe

Все. После перезагрузки. Нажимаем много кратно клавишу Shift и у нас должна запустится Командная строка, осталось только заменить пароль нашей учетной записи

net user пользователь пароль

Если имя пользователя состоит не из одно слова, то необходимо вписывать его в двойных кавычках.

Все пароль сменен, осталось только вернуть все вспять. также грузимся с диска восстановления запускаем командную строку и выполняем команду

copy с:\sethc.exe с:\windows\system32\sethc.exe

Сброс пароля Windows 8

Здесь нужно заменять уже другой файл Utilman.exe эта утилита отвечает за запуск вспомогательных инструментов. Находится в левом нижнем углу на экране авторизации пользователя.

Итак проделываем все тоже самое что и в семерке только.

Делаем резервное копирование файла Utilman.exe

copy с:\windows\system32\utilman.exe с:\

Заменяем файл

copy с:\windows\system32\ cmd .exe с:\windows\system32\utilman.exe

Перезагрузки, дожидаемся окна запроса пароля пользователя, нажимаем на кнопку в левом нижнем углу экрана, вуаля у нас открылась командная строка.

Ну теперь меняем пароль.

net user пользователь пароль

Не забываем вернуть все на место как было.

copy с:\utilman.exe с:\windows\system32\utilman.exe

  1. Выполнить->control userpasswords2
  2. Выбрать пользователя
  3. Убрать галочку "Требовать ввод имени пользователя "
  4. Применить и два раза ввести ваш текущий пароль.

мистер Олимпия 27 апреля 2013 в 20:30

Восстановление пароля windows через виртуальную машину на примере win2k8

Введение

За свою сознательную it-жизнь было несколько случаев, когда я забывал пароли. Так или иначе, с этим встречались почти все. Или забывали, или были близки к мысли, что забыли, если вот эти пришедшие в голову так и не подойдут.
И хорошо, когда есть средства отхода (секретные вопросы, запасные мейлы, привязки к телефону и т.п.). Хуже, когда этого нет, а проблема возникает в самый неподходящий момент (обычно воспринимается именно так, с выдачей себе обещания, что «как всё исправлю, обязательно сделаю пути отхода»).

Непосредственно проблема

Так уж случилось, что одним из последних случаев стал для меня случай, когда передо мной сервер hyper-v с несколькими виртуальными машинами win 2k8, к одной из которых забыт пароль. Машина не доменная (скольких бы проблем иначе удалось избежать), диска сброса никто не делал. Привода у сервера нет. USB в силу платформы - не пробрасывается. Образа win2k8 у владельца тоже нет. Да и инструментов у меня на руках нет (не для того вообще шёл).

Как решается обычно

Что делать, не очень понятно. Но недолгие размышления, что хорошо бы было сбросить пароль по типу, как это делается через образ системы (раздел repair).

Вполне стандартный вариант. Разрешить вызов командной строки на экране логина в систему. Вкратце:

1) загрузиться с установочного диска;
2) выбрать раздел «Восстановление системы»;
3) выбрать раздел «Командная строка»;
4) выполнить последовательно команды «copy C:\Windows\System32\sethc.exe» и «copy C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe». Этой командой фактически производится подмена команды «Sticky Keys» (оно же «Залипание клавиш») на командную строку.
5) перезагрузиться. Вызвать залипание клавиш многократным нажатием shift;
6) в появившейся командной строке вбить «net user admin Passw0rd», где admin - пользователь, которому сбиваем пароль, а Passw0rd - пароль, который мы устанавливаем.

Естественно, после удачного входа, в целях безопасности заменить созданный в процессе sethc.exe на оригинальный. Проще это сделать, опять же, чтобы не заморачиваться с правами, через установочный диск, как это делалось вначале.

Это что касается обычного способа.

Что в случае имевшихся ограничений?

Вариант, доступный при моих ограничениях оказался не хуже.
Что делалось?

1) Погасил проблемную виртуалку.
2) Погасил рабочую машину.
3) Прицепил к рабочей машине виртуальный винт с проблемной win2k8. Запустил полученную виртуалку с 2мя винтами на борту, загружаясь, естественно, с рабочего.
4) Далее просто пошёл через эксплорер в \Windows\System32\ проблемной машины. Втупую скопировал sethc.exe в корень винта. Удалил sethc.exe в system32.
5) Втупую сделал копию cmd.exe (ctrl+c ->ctrl+v), переименовал её в sethc.exe.
6) Погасил рабочую машину, отцепил винт с проблемной системой. Запустил проблемную виртуалку. А дальше - как в случае с установочным диском.
7) Вызвал залипание клавиш многократным нажатием shift;
8) В появившейся командной строке вбил «net user admin Passw0rd».
9) Проверил - вошёл в систему. Погасил виртуалку, через вторую вернул на место оригинальный sethc.exe
Естественно, что работает и для винтов (железных, не виртуальных) тоже.

Кстати говоря. П.9 пришлось делать, поскольку система у меня ругалась очень на права.
По этой причине в п.4-5 пришлось сбивать права и владельца (через свойства-безопасность-дополнительно-разрешения/владелец). А сбивать все права и бросать исполняемый файл без ограничений на доступ, мне не позволяет моё отношение к безопасности.

Что характерно, Проблема возникла только в тот раз. В дальнейшем, при воспроизведении ситуации дома, проблем с правами не наблюдалось, и всё спокойно копировалось/переименовывалось и удалялось с сохранением прав.

Теги: информационная безопасность, windows, пароли, виртуальная машина

Я уже писал о том, как сбросить пароль в Windows 7, но тогда я рассказывал о программах специально предназначенных для этого дела. В этот раз я расскажу, как сбросить пароль в Windows без использования программ, то есть вручную, если можно так сказать, то средствами Windows.

Если Вы не знаете, как сбросить пароль без специальных программ, то рекомендую прочитать пост и взять на «Вооружение» данный способ! Вдруг пароль будет забыт и под рукой не окажется флешки с нужной программой. Не очень приятная ситуация получится…

Каким образом сбрасывается пароль?

Скорее всего, слово «сбрасывается» тут не совсем уместно, будет правильно сказать «Заменяется»… Если, к примеру, у Вас был пароль «12345» и Вы его забыли, то данный пароль можно заменить, например на «111» и спокойно зайти в систему. На все дело уйдёт не больше 15-ти минут Вашего времени!

Как я уже позволил себе сказать выше, проблема решается «Средствами самой Windows». Никаких программ не нужно, по этому, для работы потребуется загрузочная флешка с Windowsили диск.

В чем заключается суть сброса пароля?

В Windowsимеется такая возможность, как «Залипание клавиш» специально для тех пользователей, которым трудно удерживать несколько клавиш одновременно.

За это отвечает файл «sethc.exe» он находится в каталоге «System32». Казалось бы, при чем тут залипание клавиш и сброс пароля в windows? Все дело в том, что файл «sethc.exe» заменяется на «cmd.exe» и после замены, командную строку можно запустить, если нажать «Shift» 5 раз.

Таким образом, командную строку можно запустить в момент входа в систему, и уже в «cmd» сменить пароль пользователю.

Помимо смены пароля, можно создать ещё одного пользователя и наградить его правами администратора. Вы можете запускать любые утилиты и делать все, что Вам захочется, не входя в саму систему.

Командная строка запускается от системы «System» это происходит потому, что не один пользователь не авторизован.

Отсюда логичный вывод, в правах Вы не как не ограничены! И эту погрешность можно смело считать уязвимостью в операционной системе Windows. Но для домашнего ПК совсем не страшно (В данном случае наоборот, полезно).

Как сбросить пароль администратора windows 7.

Загружаемся с загрузочной флешки с Windowsи тут идём в «Восстановления системы»

Нужно запомнить букву диска, эта информация понадобится при работе в командной строке. В моём случае это буква «D:\».

Теперь можно запустить командную строку сочетанием клавиш «Shift + F10» или нажать кнопку далее и в окне «Параметры восстановления системы» и запустить её оттуда.

После запуска консоли будет не лишним сделать резервную копию файла «sethc.exe». Для этого нужно выполнить команду.

Default

copy D:\Windows\System32\sethc.exe D:\

copy D : \ Windows \ System32 \ sethc . exe D : \

Помним, что система находится в разделе «D:\» и поэтому соответственно указываем букву «D»

Следующей командой заменим файл «sethc.exe» на файл командной строки «cmd.exe»

Default

copy D:\Windows\System32\cmd.exe D:\Windows\System32\sethc.exe

copy D : \ Windows \ System32 \ cmd . exe D : \ Windows \ System32 \ sethc . exe

Если нужно подтвердить действия, укажите букву «Y»

После этого можно перезагружать компьютер. Как только появится экран, где требуется ввести пароль пользователя, нажмите 5 раз клавишу «Shift» за места окна «залипание клавиш» появится командная строка.