Hvordan få program til å benytte windowspassord?

[petterg]

Hordan kan man få et klientprogram til å benytte et hash av brukerens windowspassord til å logge på server med?

 

Poenget er at brukeren skal slippe å logge inn på programmet etter å ha logget inn på windows, men at dersom noe(n) resetter brukerens passord, skal innlogging til serveren bli "umulig". Informasjonen man trenger for å lage hashet ligger nok i en av de .sam-filene man ikke får lesetilgang til. Så hvilke muligheter har man?

 

(Programmeringsspråk er ikke bestemt ennå)

[Gjest Slettet-t8fn5F]

har aldri vært borti noen programmer som bruker lokalt passord for videre pålogging. Programmer som lagrer passordet i en kryptert fil finnes det mange av...

[petterg]

Om et påloggingspassord lagres i en kryptert fil må den kunne dekrypteres på et vis. Enten ved at brukeren skriver inn en kode, eller at den koden ligger lagret på maskina et sted. Hvis koden ligger lagret et sted, faller jo mye av poenget med med krypteringen bort. Dersom brukeren må skrive inn en kode, kunne h?n like gjerne ha skrevet passord til påloggingen for programmet.

 

Målet mitt her er å prøve å finne en kilde som gjør at brukeren kun trenger å logge på PC'n, og slippe videre pålogging, samtidig som at hvis noen kødder med påloggingen til PC'n (f.eks endrer brukerens passord, slik at de deretter kan logge inn som brukeren) skal de ikke komme videre til serveren.

 

Microsoft har på et eller annet vis fått til å lage websider på en server i et domene, som brukere på en pc som er medlem i domenet ikke trenger å logge inn på, forutsatt at de bruker IE. Det funker da uavhengig av om brukeren hadde kontakt med domenet sist han logget inn på pc'n. Altså klarer IE på et vis å benytte brukerens innlogging til videre pålogging via web. Jeg aner ikke hvordan. Men da er det jo helt klart mulig på et vis

[Gjest Slettet-t8fn5F]

kan det være at sidene er ipavhengig? Vært borti mye sånt, men at en side skal sjekke 2 forsjellige passordbase før tilgang, virker rart.

Passtrough aututentication finnes på IIS sider, men det er ikke noen lokal base for passord i et domene.

[petterg]

<offtopic>

 

Innlogging til en domenebruker er alltid cachet på en pc som er medlem av domenet. Ellers ville de fleste bedrifters laptoper være ubruklige utenfor bedriftens LAN. Om man velger å kalle det et cache, en database, eller noe helt annet er irrellevant i denne sammenhengen.

For ikke-domenebrukere lagres hash av passord i en .sam-fil. Man kan boote opp en pc på en cd/pinne/annet os, redigere .sam-fila til å inneholde hash til et kjent passord for en valgt bruker, og deretter logge inn på pc'n med dette brukernavnet / passordet.

 

</offtopic>

 

 

Så, gjentar saken. SAM-fila er ikke lesbar mens maskina er bootet. Om maskina er med i et domene ligger informasjonen et annet sted. Hvordan kan man få tilgang til denne informasjonen mens maskina kjører? Explorer har beviselig denne tilgangen, altså må det være mulig.

(Et langt enklere eksempel enn IE: om man går til en windows-share, vil explorer først prøve å logge på med brukerens brukernavn/passord, og kun spørre om bruker/pass dersom dette feiler)

 

Edit:

Det jeg er på jakt etter er ikke nødvendigvis brukerens passord, eller passord hash. Det holder med hva som helts av streng, bare man vet at den strengen endrer seg dersom brukerens passord-hash blir endret. Aller helst bør den leses fra ram, ikke fra disk.

 

Et mulig spor kan være SAML

Endret 22. januar 2011 av petterg

[Gjest Slettet-t8fn5F]

ikke helt rett. Når du trykker på et share, så sjekkes share rettighetene til brukeren og så sjekkes NTFS rettighetene til brukeren. Brukeren får som regel tilgang via gruppemedlemskap. En enkel kommando for å sjekke hvilken bruker som er pålogget er whoami.

Om en maskin har kontakt med domenet, så sjekkes passord opp mot domenet. Om maskinen er "offline" sjekkes en lokal kopi av forrige passord.

Der finnes program som kan lese verdiene i sam-fila og oversette de til klartekst.

[petterg]

Det finnes haugevis av programmer som kan lese ut hash fra SAM, og gjøre diverse gjettverk for å se om de kommer frem til hvilket passord som gir samme hash. Felles for disse er at de leser SAM mens maskina er bootet i et annet OS/cd/pinne. Det er som sagt IKKE passordet jeg er på jakt etter, men hvordan kunne lese ut disse hashene mens maskina kjører som normalt? Eller enda bedre, finne noe annet som kan brukes som kilde, som bare er tilgjengelig mens brukeren er pålogget, og som vil bli endret dersom passord endres

[GeirGrusom]

Du er ute etter Kerberos og/eller Active Directory støtte. Jeg har aldri selv programmert dette før, så jeg vet ikke hvor du skal begynne, men dersom du bruker .NET så tør jeg mene at det finnes biblioteker og slikt for å fikse det.

[Gjest Slettet-t8fn5F]

tomt til salgs

Endret 26. januar 2011 av Slettet-t8fn5F