home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / files / nt / l0phtcrack15.txt < prev    next >
Encoding:
Text File  |  1997-09-25  |  11.1 KB  |  260 lines
  1.     
  2.           COMMERCIAL AND GOVERNMENT USERS PLEASE SEE THE END
  3.           OF THIS FILE FOR LICENSING INFORMATION. FOR YOU THIS
  4.           PROGRAM IS SHAREWARE, FOR ALL OTHERS IT IS FREE.
  5.  
  6.                          L0phtCrack 1.5
  7.                          Released 7/12/97
  8.  
  9.           Available at http://www.l0pht.com/advisories.html
  10.  
  11.                          mudge@l0pht.com
  12.                          weld@l0pht.com 
  13.  
  14. OVERVIEW
  15.  
  16. L0phtCrack 1.5 is a tool for turning Microsoft LANMAN and NT password
  17. hashes back into the original clear text passwords.  The program
  18. does this using dictionary cracking and also brute force.  L0phtCrack
  19. 1.5 returns not just the LANMAN passord but the NT password up to 14
  20. characters in length. L0phtcrack will read pwdump style output or take
  21. network sniffer logs. The program is distributed as both a GUI and
  22. in CLI form.
  23.  
  24. Version 1.0 of L0phtCrack was deficient because the graphical version
  25. of the program did not support the brute force method that was in the
  26. Command Line version which accompanied it.  This has been fixed for version 
  27. 1.5.  The brute force efficiency has been improved and an option to select 
  28. the character set that makes up the password has been added.
  29.  
  30. The default behavior of the GUI is to do a dictionary attack on the
  31. password file and then brute force the remaining uncracked passwords.
  32. Sample password files are named pwfile.txt, pwfile2.txt, pwfile3.txt
  33. and pwfile4.txt.  A 28000 word dictionary file is included named
  34. wfile.txt.  You can dump passwords directly from L0phtCrack if you have
  35. administrator rights.
  36.  
  37. L0phtCrack 1.5 includes the ability to dictionary attack or brute force
  38. the network NT server challenge that is used to prevent the OWF from
  39. going across the wire in its plaintext format.  Sample network sniffed
  40. challenges are in files sniff.txt and sniff2.txt.  This means you
  41. can get NT passwords without administrator privileges if you have network
  42. access between the client and the server.
  43.  
  44. With only trivial modifications you can break the SMB signing options
  45. and play man in the middle attacks. These 'signatures' are derived
  46. in almost identical fashion as the challenge response is.
  47.  
  48. You can build the sniff files by hand using your favorite network analyzer
  49. or wait for our tool which sniffs the network and builds these files.
  50. The sniffing tool will be made available shortly.  
  51.  
  52. Also to be made available shortly is a commercial multiprocessor
  53. version, L0phtCrack/SMP 1.5 for NT and Solaris.  Contact l0phtcrack@l0pht.com
  54. for more information.
  55.  
  56. FILES IN THE EXECUTABLE DISTRIBUTION - LC15EXE.ZIP
  57.  
  58. lc_cli.exe is the command line version of the program.  Run this if you 
  59. think little status counters are sucking up all you performance or do not
  60. need you hand held by point-and-click tools. Source
  61. code for this program that will build on Win95/NT or Unix is included in the
  62. source code distribution: lc15src.zip or lc15src.tar.gz
  63.  
  64. lc_gui.exe is the NT graphical version of L0phtCrack.
  65.  
  66. lc_guipro.exe is the NT graphical version of L0phtCrack that has been compiled
  67. with Pentuim Pro optimizations turned on.
  68.  
  69. lc_gui95.exe is Win95 graphical version of L0phtCrack. This version does not
  70. support password dumping due to Win95 limitations.
  71.  
  72. FILES IN THE SOURCE DISTRIBUTION - LC15SRC.ZIP or LC15SRC.TAR.GZ
  73.  
  74. This archive contains all the source to build the command line version of
  75. L0phtCrack 1.5.
  76.  
  77. PERFORMANCE
  78.  
  79. Dictionary cracking is extremely fast.  L0phtCrack running on a Pentium Pro
  80. 200 checked a password file with 100 passwords against a 8 Megabyte dictionary
  81. file in under one minute.
  82.  
  83. Brute forcing is always an extremely CPU intensive operation.  We have worked
  84. to optimize this in L0phtCrack 1.5.  L0phtCrack running on a Pentium Pro
  85. 200 checked a password file with 10 passwords using the alpha character set
  86. (A-Z) in 26 hours.  The graphical verion of L0phtCrack 1.5 features a 
  87. percentage done counter and a time remaining estimate so you can gauge when 
  88. the task will be complete. [note from mudge: try building the CLI version
  89. on an ultrasparc using the compile flags in the Makefile provided - this
  90. will make these figures look sloooooowwww ;-)]
  91.  
  92. The l0phtcrack1.5 GUI allows you to select one of 5 character sets to brute 
  93. force passwords that use more characters than A-Z.  As the character sets 
  94. increase in size from 26 characters to 68 the time to brute force the password
  95. increases exponentially. The CLI version allows you to specify a file 
  96. containing your keyspace string via the '-k' option. Please keep in mind
  97. that you should only be using UPPERCASE characters as we will derive the
  98. lower case ones later in the cracking. [examine the source code if this
  99. is un-clear]
  100.  
  101. This chart illustrates the relative time for larger character sets. 
  102.  
  103. Char                    Relative 
  104. Size    Iterations      Time
  105.  
  106. 26      8353082582      1.00
  107. 36      80603140212     9.65
  108. 46      4.45502E+11     53.33
  109. 68      6.82333E+12     816.86
  110.  
  111. So if 26 characters takes 26 hours to complete, 36 characters (A-Z,0-9) would
  112. take 250 hours or 10.5 days.  Now of course this is the worst case senario of
  113. the password being 99999999999999. A password such as take2asp1r1n would 
  114. probably be computed in about 7 days.  [mudge note: again, try this on
  115. other architectures for better performance]
  116.  
  117. NT Server Challenge Sniffing
  118.  
  119. Here is a description of the challenge that takes place over the network
  120. when a client, such as a Windows NT workstation, connects to an NT Server.
  121.  
  122.         [assuming initial setup etc...]
  123.  
  124.            8byte "random" challenge
  125.      Client <---------------------- Server
  126.      OWF1 = pad Lanman OWF with 5 nulls
  127.      OWF2 = pad NT OWF with 5 nulls
  128.      resp = E(OWF1, Chal) E(OWF2, Chal)
  129.            48byte response (24byte lanman 24byte nt)
  130.      Client -----------------------> Server
  131.  
  132. The client takes the OWF ( all 16 bytes of it) and pads with 5 nulls. 
  133. From this point it des ecb encrypts the, now 21byte, OWF with the
  134. 8byte challenge. The resulting 24byte string is sent over to the
  135. server who performs the same operations on the OWF stored in it's
  136. registry and compares the resulting two 24byte strings. If they 
  137. match the user used the correct passwd.
  138.  
  139. What's cool about this? Well, now you can take your sniffer logs
  140. of NT logons and retrieve the plaintext passwords. This does not
  141. require an account on the NT machine nor does it require previous
  142. knowledge of the ADMINISTRATOR password. 
  143.  
  144. The fact that these three responses are concatenated quickly gives
  145. away the length of the password for the LM hash and the attack can
  146. work backwards the same way the non-networked one does. 
  147.  
  148. So even if you have installed Service Pack 3 and enabled SAM encryption 
  149. your passwords are still vulnerable if they go over the network.
  150.  
  151. Special thanks go out to:
  152.  
  153.  - Hobbit@avian.org for all the cool ideas and bare feet. Especially
  154.    for his monster paper on CIFS problems.
  155.  
  156.  - Jeremey Allison jra@cygnus.com - for the fantastic sleuthing with
  157.    PWDump.
  158.  
  159.  - tuebor@l0pht.com for a some nice little code tips and generall coolness.
  160.  
  161.  - the people who did SAMBA for being nuts!
  162.  
  163.  - the people who did libdes for being nuts!
  164.  
  165.  - Yobie for always fighting giants.
  166.  
  167.  If anyone makes modifications / improvements please mail the diffs to
  168.  mudge@l0pht.com.
  169.  
  170.  We hope this tool is useful,
  171.  
  172.  mudge@l0pht.com , weld@l0pht.com
  173.  
  174.  
  175.  
  176.  
  177.  
  178. LICENSING INFORMATION LICENSING INFORMATION LICENSING INFORMATION 
  179.  LICENSING INFORMATION LICENSING INFORMATION LICENSING INFORMATION
  180.  
  181. LHI TECHNOLOGIES, LLC  SOFTWARE LICENSE AGREEMENT 
  182.  
  183. THIS IS A LEGAL AGREEMENT BETWEEN YOU AND LHI TECHNOLOGIES, LLC ("LHI").
  184. CAREFULLY READ ALL THE TERMS AND CONDITIONS OF THIS AGREEMENT PRIOR TO USING
  185. THE SOFTWARE. BY USING THE SOFTWARE YOU CONSENT TO BE BOUND BY THE TERMS OF
  186. THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL THE TERMS OF THIS AGREEMENT, DO
  187. NOT USE THE SOFTWARE. 
  188.  
  189. ***************************************************************************
  190. IF YOU ARE A COMMERCIAL OR GOVERNMENTAL ENTITY THE GRAPHICAL EXECUTABLE
  191. VERSIONS OF THIS SOFTWARE, ("L0PHTCRACK 1.5") ARE NOT FREE OF CHARGE.  IF
  192. YOU USE THE SOFTWARE BEYOND THE EVALUATION PERIOD OF 7 DAYS YOU MUST MAKE A
  193. PAYMENT OF $50 TO LHI.  PAYMENT MUST BE SENT TO: LHI, PO BOX 990857, BOSTON,
  194. MA 02199. 
  195. ****************************************************************************
  196.  
  197. THE GRAPHICAL EXECUTABLE VERSIONS ARE THE FILES NAMED: lc_gui.exe, 
  198. lc_guipro.exe and lc_gui95.exe CONTAINED IN THE ARCHIVE FILE lc15exe.zip
  199.  
  200. IF YOU ARE A NEITHER A COMMERCIAL NOR GOVERNMENTAL ENTITY YOU MAY USE THIS
  201. SOFTWARE FREE OF CHARGE.
  202.  
  203. 1.TITLE AND OWNERSHIP. The Software is owned by LHI
  204. The Software is protected by United States and international copyright and
  205. other laws. You may not remove, obscure, or alter any notice of
  206. patent, copyright, trademark, trade secret, or other proprietary rights.
  207. You may not reverse engineer, disassemble or de-compile the
  208. Software nor may you permit anyone else to do so. 
  209.  
  210. This license and your right to use the Software terminate automatically
  211. if you violate any part of this Agreement. 
  212.  
  213. 3.DISCLAIMER OF WARRANTY AND LIMITATION OF LIABILITY.
  214. THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY
  215. OF ANY KIND, WHETHER EXPRESS OR IMPLIED. WITHOUT
  216. LIMITATION, LHI DISCLAIMS ALL IMPLIED
  217. WARRANTIES WITH RESPECT TO THE SOFTWARE, ITS
  218. MERCHANTABILITY AND FITNESS FOR ANY PARTICULAR
  219. PURPOSE. YOU ASSUME ALL RISK IN USING THE SOFTWARE.
  220. IN NO EVENT WILL LHI BE LIABLE FOR INDIRECT,
  221. INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING,
  222. WITHOUT LIMITATION, LOSS OF INCOME, LOSS OF USE, OR
  223. LOSS OF INFORMATION. IN NO EVENT WILL LHI BE
  224. LIABLE FOR ANY DAMAGES, EVEN IF LHI SHALL HAVE
  225. BEEN INFORMED OF THE POSSIBILITY OF SUCH DAMAGES
  226. OR FOR ANY CLAIM BY ANY OTHER PARTY. CERTAIN STATES
  227. DO NOT PERMIT EXCLUSIONS OF IMPLIED WARRANTIES OR
  228. LIMITATIONS OF LIABILITY, SO THIS DISCLAIMER MAY NOT
  229. APPLY TO YOU OR MAY APPLY TO YOU ONLY IN PART. YOU
  230. MAY HAVE OTHER LEGAL RIGHTS WHICH VARY FROM STATE
  231. TO STATE. 
  232.  
  233. 4.EXPORT COMPLIANCE. You may not export or reexport the
  234. Software except in full compliance with all United States and other
  235. applicable laws and regulations, including laws and regulations
  236. pertaining to the export of computer software. 
  237.  
  238. 5.GENERAL. This Agreement constitutes the entire agreement between
  239. you and LHI and supersedes any prior written or oral agreement
  240. concerning the Software. It shall not be modified except by written
  241. agreement dated subsequent to the date of this Agreement and signed
  242. by an authorized LHI representative. LHI is not bound by any
  243. provision of any purchase order, receipt, acceptance, confirmation,
  244. correspondence, or otherwise, unless LHI specifically agrees to
  245. the provision in writing. This Agreement is governed by the laws of
  246. the State of Massachusetts as if the parties hereto were both Massachusetts
  247. residents; and you consent to exclusive jurisdiction in the state and
  248. federal courts in Boston in the event of any dispute. 
  249.  
  250. 6.U.S. GOVERNMENT RESTRICTED RIGHTS. The Software is
  251. provided with RESTRICTED RIGHTS. Use, duplication, or disclosure
  252. by the Government is subject to restrictions as set forth in
  253. subparagraph (c)(1)(ii) of the Rights in Technical Data and Computer
  254. Software clause at DFARS 252.227-7013 or subparagraphs (c)(1) and
  255. (2) of the Commercial Computer Software Restricted Rights at 48
  256. CFR 52.227-19, as applicable. Contractor/manufacturer is LHI
  257. Technologies, LLC, PO Box 990857, Boston, MA 02199. 
  258.  
  259.  
  260.