Сейчас на форуме: rmn, exp50848 (+9 невидимых)

 eXeL@B —› Основной форум —› Symantec endpoint protection 12 - дер паролен и где хранятся журналы
Посл.ответ Сообщение

Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 16 декабря 2014 18:44
· Личное сообщение · #1

Возникла необходимость получить лулзы халявный доступ к антивирю из под ограниченной учетной записи. Паролен естественно мне неизвестен...впрочем меня это никак не смутило. файло SymCorpUI.exe. сравниваются введенный хэш пароля и хэш оригинального пароля (вроде берется из реестра). я так думаю, MD5 там не чистый?!?
Code:
  1. 5ED679FF  |.  6A 5C         PUSH 5C
  2. 5ED67A01  |.  6A 00         PUSH 0
  3. 5ED67A03  |.  8D85 44FFFFFF LEA EAX,[EBP-0BC]
  4. 5ED67A09  |.  50            PUSH EAX
  5. 5ED67A0A  |.  E8 B569F7FF   CALL <JMP.&MSVCR100.memset>                                            ; Jump to MSVCR100.memset
  6. 5ED67A0F  |.  83C4 0C       ADD ESP,0C
  7. 5ED67A12  |.  33C9          XOR ECX,ECX
  8. 5ED67A14  |.  894D D8       MOV DWORD PTR SS:[EBP-28],ECX
  9. 5ED67A17  |.  894D DC       MOV DWORD PTR SS:[EBP-24],ECX
  10. 5ED67A1A  |.  894D E0       MOV DWORD PTR SS:[EBP-20],ECX
  11. 5ED67A1D  |.  894D E4       MOV DWORD PTR SS:[EBP-1C],ECX
  12. 5ED67A20  |.  8D95 44FFFFFF LEA EDX,[EBP-0BC]
  13. 5ED67A26  |.  52            PUSH EDX                                                               ; /Arg1 => OFFSET LOCAL.47
  14. 5ED67A27  |.  E8 0460F8FF   CALL MD5_Init                                                          ; \SymCorpUI.5ECEDA30
  15. 5ED67A2C  |.  83C4 04       ADD ESP,4
  16. 5ED67A2F  |.  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14]
  17. 5ED67A32  |.  50            PUSH EAX                                                               ; /Arg3 => [LOCAL.5]
  18. 5ED67A33  |.  8B4D D4       MOV ECX,DWORD PTR SS:[EBP-2C]                                          ; |
  19. 5ED67A36  |.  51            PUSH ECX                                                               ; |Arg2 => [LOCAL.11]
  20. 5ED67A37  |.  8D95 44FFFFFF LEA EDX,[EBP-0BC]                                                      ; |
  21. 5ED67A3D  |.  52            PUSH EDX                                                               ; |Arg1 => OFFSET LOCAL.47
  22. 5ED67A3E  |.  E8 5D5EF8FF   CALL MD5_Update                                                          ; \SymCorpUI.5ECED8A0
  23. 5ED67A43  |.  83C4 0C       ADD ESP,0C
  24. 5ED67A46  |.  8D85 44FFFFFF LEA EAX,[EBP-0BC]
  25. 5ED67A4C  |.  50            PUSH EAX                                                               ; /Arg2 => OFFSET LOCAL.47
  26. 5ED67A4D  |.  8D4D D8       LEA ECX,[EBP-28]                                                       ; |
  27. 5ED67A50  |.  51            PUSH ECX                                                               ; |Arg1 => OFFSET LOCAL.10
  28. 5ED67A51  |.  E8 0A60F8FF   CALL MD5_Final                                                          ; \SymCorpUI.5ECEDA60
  29. 5ED67A56  |.  83C4 08       ADD ESP,8
  30. 5ED67A59  |.  B9 04000000   MOV ECX,4
  31. 5ED67A5E  |.  8D7D D8       LEA EDI,[EBP-28]
  32. 5ED67A61  |.  8BB5 F8FEFFFF MOV ESI,DWORD PTR SS:[EBP-108]
  33. 5ED67A67  |.  81C6 94000000 ADD ESI,94
  34. 5ED67A6D  |.  33D2          XOR EDX,EDX
  35. 5ED67A6F  |.  B8 00000000   MOV EAX,0
  36. 5ED67A74  |.  F3:A7         REPE CMPS DWORD PTR DS:[ESI],DWORD PTR ES:[EDI]
  37. 5ED67A76  |.  0F94C0        SETE AL
  38. 5ED67A79  |.  8845 F3       MOV BYTE PTR SS:[EBP-0D],AL
  39. ...

ака
Code:
  1.  MD5_Init(&Dst);
  2.     MD5_Update((int)&Dst, v12, Size);
  3.     MD5_Final(&v13, &Dst);
  4.     v19 = memcmp((char *)this + 148, &v13, 16) == 0;

но эт все хня! понятно, что можно банально битхаком (копированием правильного хэша...)пройти проверку. вопрос встает дальше-там, очевидно идет ведение журнала. вопрос: где он может, теоретически, храниться? мои сканеры засекли, что есть скрытая директория Data, к которой обращается антивир. Вероятно там?
зы: Мои интересы лежат только в плане лулзов-обойти парольную проверку и попробовать поиметь профит без админской учетки.


53d1_16.12.2014_EXELAB.rU.tgz - SymCorpUI.7z


 eXeL@B —› Основной форум —› Symantec endpoint protection 12 - дер паролен и где хранятся журналы
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати