Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Récupérer des logins et mots de passe sur une machine verrouillée

Mubix (Rob Fuller) a publié sur son site un article intéressant où il explique, encore tout étonné, qu’il est possible de récupérer des identifiants (login + passwords) sur un ordinateur dont la session est verrouillée.

Pour cela, il a utilisé un Hak5 Turtle à 49,99 $ qui n’est ni plus ni moins qu’un mini-ordinateur qui permet de faire du man in the middle sur n’importe quelle machine. Voici d’ailleurs une explication plus détaillée de ce qu’est la Hak5 Turtle :

Comme c’est déjà prévu sur la Turtle, c’est easy à configurer. Il suffit d’activer les modules « serveur DHCP » ainsi que le module Responder de Laurent Gaffié.

Responder est un super outil capable de recevoir et de stocker toutes les demandes d’authentification (NTLMv1/NTLMv2/LMv2, NTLMSSP et authentification HTTP basique) qui passent par lui, que ce soit via HTTP/SMB/MSSQL/FTP/LDAP.

Là où ça devient vraiment moche, c’est qu’en pluggant cette clé Hak5 Turtle sur un ordinateur dont la session est verrouillée, il est possible de récupérer des tas d’identifiants et de mots de passe (chiffrés ou non). Comment ?

Et bien comme l’USB est plug and play, le système l’active immédiatement, et cela même si la session est lockée. Reconnue comme un adaptateur Ethernet par Windows ou macOS, ça passe donc comme une lettre à la poste, et comme l’Ethernet c’est plus rapide que le Wifi, l’OS a tendance à choisir ce mode de connexion pour transmettre ses données. Donc même si l’ordinateur est connecté en wifi, le simple fait de connecter cette clé USB Turtle, va faire en sorte que tout le trafic sortant passe par cet adaptateur.

Et ce qu’on a du mal à imaginer (et Mubix aussi d’ailleurs), c’est la quantité de trafic sortant qu’un ordinateur peut produire lorsqu’il est verrouillé. Pas besoin d’ouvrir un navigateur ou une application, non, non, l’OS va causer dans tous les sens, faisant parfaitement confiance à son réseau local, donc à la clé Turtle, et lui balançant des tas d’identifiants.

La fête quoi !

Mubix a réalisé ses tests avec une Turtle de Hak5, mais aussi avec une USB Armory qui est un poil plus cher (155 $) et qui permet de faire sensiblement la même chose en mode plus barbu, du moment que vous installez Responder et le serveur DHCP dessus.

Voici une démo de la clé USB Armory en action. En moins de 13 secondes, elle récupère des identifiants. Impressionnant !

Mubix a réalisé des tests sur :

  • Windows 98 SE
  • Windows 2000 SP4
  • Windows XP SP3
  • Windows 7 SP1
  • Windows 10 (Enterprise et Home)
  • OSX El Capitan / Mavericks

Et à chaque fois, il a pu récupérer des infos. Il n’a pas encore testé sous Linux.

Je vous rassure, il n’y a rien à faire pour empêcher ça… C’est d’office dans le système d’exploitation. C’est con hein ? 😉


MacWay fête ses 30 ans et qui dit 30 ans dit JEU CONCOURS !

Le grand jeu anniversaire est disponible sur macway.com ! Tentez de remporter un MacBook Air jusqu’au 11 Octobre 2020 !
D’autres lots sont également mis en jeu, avec notamment une trottinette Force Moov , un casque Bose QuietComfort 35.
Bonne nouvelle : il n’y a pas de perdant, puisque chaque participant recevra un bon d’achat de 10€ !
Tirage au sort le 12 Octobre 2020.

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


MacWay fête ses 30 ans et qui dit 30 ans dit JEU CONCOURS !

Le grand jeu anniversaire est disponible sur macway.com ! Tentez de remporter un MacBook Air jusqu’au 11 Octobre 2020 !
D’autres lots sont également mis en jeu, avec notamment une trottinette Force Moov , un casque Bose QuietComfort 35.
Bonne nouvelle : il n’y a pas de perdant, puisque chaque participant recevra un bon d’achat de 10€ !
Tirage au sort le 12 Octobre 2020.

En Savoir +


Réponses notables

  1. Voulu l’acheter par Paypal…et je reçois ça comme message…
    Sorry, this shop is currently unavailable.
    Après 5 essais,c’est commandé…

  2. Avatar for skepty skepty says:

    Windows 8 et 8.1 sont épargnés?

  3. Avatar for dhglm5 dhglm5 says:

    En fait, Responder va répondre aux requêtes de résolution DNS des protocoles LLMNR et NetBIOS.
    Il peut aussi envoyer une configuration de proxy via WPAD.

    Le but c’est que Responder se fasse passer pour le service à atteindre (share, site web…).

    Une fois que c’est le cas, dés que la machine va vouloir communiquer avec le service en question, Responder va lui demander de s’authentifier en premier, ce que la machine va faire automatiquement en envoyant un hash de mot de passe (souvent le mot de passe de session).

    On récupère donc le plus souvent des hash de mots de passe avec lesquels on a deux possibilités:

    1. Récupérer le mot de passe en clair à l’aide d’une attaque par dictionnaire avec john the ripper par exemple.
    2. L’utiliser tel quel dans une attaque de type PassTheHash.

    Et pour faire tout ca, pas besoin de LAN Turtle, Responder installé sur une machine Linux suffit.

    La force du LAN Turtle dans ce contexte ci, c’est qu’on peut le transporter dans sa poche et le connecter à une machine en particulier.

    Un Raspberry Pi connecté au LAN (avec Responder) donnera beaucoup plus de résultats (mais forcément pas ciblé pour la machine en question)

  4. Perso sur mon Mac, j’ai remis ipfw et fait 2 règles qui bloque le traffic sortant :

    02100 498 53566 deny ip from any to any dst-port 137-139,201-208,445,548,625,1900,5204,5223,5353,8612
    02100 26 2248 deny ip from any 137-139,201-208,445,548,625,1900,5204,5223,5353,8612 to any

    Sans compter que mon compte n’est pas admin.

    Plus le fait que j’ai mis un maraDNS qui bloque toutes les résolutions sur les domaine en apple.com

    Plus le fait que dans mon fichier /etc/hosts j’ai les bloqué vers les domaine Apple :

    xx.courier-sandbox-push-apple.com.akadns.net

    phobos.apple.com

    Du coup, j’suis pas sûr que sur ma machine ça fonctionne.

    Je n’aime pas l’idée que quelqu’un que je ne connais pas (Apple) accède à quoi que ce soit de mon ordinateur (Macbook air) et j’ai fait la même chose pour Windows (fichier hosts + firewall + désactivé un bon nombre de services)

    Après je ne remet pas en cause la clé même si je dirais que son utilisation est obscure (attaque ? défense ? légal ? moral ? éthique ?..)

  5. Il y a un moyen très simple pour empêcher ce truc de fonctionner : il suffit d’installer un mdp au niveau du bios, comme du temps du bon vieux MS-DOS que les moins de 20 ans ne peuvent pas connaître…

  6. …et le reset de la carte mère tu le fais comment si tu n’as pas le mot de passe du bios,sur un portable…?

  7. Avatar for fofo fofo says:

    [quote=“babelphotos, post:10, topic:4600, full:true”]
    …et le reset de la carte mère tu le fais comment si tu n’as pas le mot de passe du bios,sur un portable…?
    [/quote]Exactement comme sur un PC fixe, en enlevant la pile de la carte-mère, sur certaines machines il suffit de dé-clipser le clavier sans aucun outil

  8. Avatar for fofo fofo says:

    [quote=“dhglm5, post:6, topic:4600, full:true”]
    J’ai oublié d’indiquer comment s’en prémunir sous Windows:

    • Désactiver le service de résolution LLMNR (dans les services)
    • Désactiver la résolution NetBIOS (sur la carte réseau)
    • Désactiver la configuration automatique du proxy
      [/quote] Sur un PC fixe pourquoi pas, sur un portable, si tu désactives ces services ton portable risque de moins bien marcher… (notamment le partage windows)
      Le vrai conseil c’est surtout d’éteindre sa machine ou de fermer la session, et de ne pas se contenter de la verrouiller.
  9. Avatar for zorg zorg says:

    Parler de verrouillage en utilisant lock pour “lockée” je ne sais pas si tu as pris des substances bizarres ou aussi pour pluggant pour un plug

    Puisque c’est si super:
    ça doit être Twitter qui dézingue le braining du notre Master K,
    c’st sub (the)> ze famous Ad en bas de ta Note?
    sur wordpress

    bon Ikoula ou ikoulapas moi je RAS mon com.

  10. Il y a visiblement une solution plus “simple” que de tout désactiver :slight_smile:

    “Probably the best way to stop this attack in an enterprise network is turning off automatic device installation for network devices (GUID is {4d36e972-e325-11ce-bfc1-08002be10318}) via GPO. Turn on manual overrride in case your users actually need USB network devices (i.e., mobile phone development, WiFi dongles, etc).”

    Sources :

    Pour les admins AD, un jeu d’enfants à déployer.

    Sinon il faut jouer les policy local sur votre Windows.

    Bon courage,

    Cordialement,

    Aurélien.

  11. Avatar for gits68 gits68 says:

    bien le bonjour tt le monde,

    une achat groupé sur paris rp, cela vous intéresserait-il ?
    parce qu’à 13 € de fdp en sus des 50 €…
    pas trouvé d’autre boutique que l’officiel…

Continuer la discussion sur Korben Communauté

8 commentaires supplémentaires dans les réponses

Participants