/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvordan fanger man LANMAN hashen ?
Fra : Povl H. Pedersen


Dato : 20-05-02 12:46

Jeg har overvejet lidt, om der er en eller anden smart måde man kan
fiske folks LAN Manager password hash på ?

I "gamle" dage kunne man bare lave en website der krævede NTLM
authentication, og straks afsendte klientPC'en sit krypterede
password.

Kan man gøre noget tilsvarende i dag ? F.eks. påstå at
ens website er en Proxy server ? Eller henvise til til
en file:// URL ? Eller er det hele i dag begrænset til
hvad MS kalder for sikre zoner ?

Jeg går ud fra, at et lokalnet er en sikker zone ? Og at
man kan sende file://maskine/share/x.jpg links til sine kolleger,
og så få deres password hash ved at sende dem mails ?

Altså kort spurgt: Hvordan sikrer man sig, at en brugers
PC kun sender passwordhash til få særligt betroede maskiner,
og ikke fra en HTML side til hvad som helst ?

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


 
 
Christian E. Lysel (20-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 20-05-02 13:19

Povl H. Pedersen wrote:
> I "gamle" dage kunne man bare lave en website der krævede NTLM
> authentication, og straks afsendte klientPC'en sit krypterede
> password.

Gad vide om folk nu blot taster deres domain brugernavn og password. :)

> Kan man gøre noget tilsvarende i dag ? F.eks. påstå at
> ens website er en Proxy server ? Eller henvise til til
> en file:// URL ? Eller er det hele i dag begrænset til
> hvad MS kalder for sikre zoner ?

Der har været mange huller i de "sikre zoner", bla. er 012012012012 lig
med 80.40.20.10. Og 012012012012 blev betragtet som en URL til et
intranet fordi der ikke er "." i URL'en.

> Jeg går ud fra, at et lokalnet er en sikker zone ? Og at
> man kan sende file://maskine/share/x.jpg links til sine kolleger,
> og så få deres password hash ved at sende dem mails ?

Ja, men det får man ikke via HTTP, men via en samba server.

> Altså kort spurgt: Hvordan sikrer man sig, at en brugers
> PC kun sender passwordhash til få særligt betroede maskiner,
> og ikke fra en HTML side til hvad som helst ?

Man kan fx bruge en firewall der sørger for RFC'erne for HTTP bliver
overholdt, fx en Raptor Firewall.

Ovenstående kræver dog en segmentering.

I forbindelse med windows 2000, har jeg stødt på en del webservere der
har modtaget IPSec pakker fra Internet Explorer klienter, er der nogle
der kende til dette?




Povl H. Pedersen (20-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 20-05-02 17:05

On Mon, 20 May 2002 14:19:16 +0200,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Povl H. Pedersen wrote:
>> I "gamle" dage kunne man bare lave en website der krævede NTLM
>> authentication, og straks afsendte klientPC'en sit krypterede
>> password.
>
> Gad vide om folk nu blot taster deres domain brugernavn og password. :)

Der er nogle IE versioner der sender dit username / password hash
uden du spørges. Det skulle gøre det lettere for brugeren at tilgå
passwordbeskyttede websites.

>> Kan man gøre noget tilsvarende i dag ? F.eks. påstå at
>> ens website er en Proxy server ? Eller henvise til til
>> en file:// URL ? Eller er det hele i dag begrænset til
>> hvad MS kalder for sikre zoner ?
>
> Der har været mange huller i de "sikre zoner", bla. er 012012012012 lig
> med 80.40.20.10. Og 012012012012 blev betragtet som en URL til et
> intranet fordi der ikke er "." i URL'en.

Jeg er interesseret i, om der der noget der ikke regnes som et
hul. Men en "feature" i Windows.

>> Jeg går ud fra, at et lokalnet er en sikker zone ? Og at
>> man kan sende file://maskine/share/x.jpg links til sine kolleger,
>> og så få deres password hash ved at sende dem mails ?
>
> Ja, men det får man ikke via HTTP, men via en samba server.

Men det er også helt OK for mig. Vil denne altid virke hvis man
er inde på lokalnettet ? F.eks. via wireless ?

>> Altså kort spurgt: Hvordan sikrer man sig, at en brugers
>> PC kun sender passwordhash til få særligt betroede maskiner,
>> og ikke fra en HTML side til hvad som helst ?
>
> Man kan fx bruge en firewall der sørger for RFC'erne for HTTP bliver
> overholdt, fx en Raptor Firewall.

Men denne vil ikke løse problemet på et LAN.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Christian E. Lysel (20-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 20-05-02 22:41

Povl H. Pedersen wrote:
>>Gad vide om folk nu blot taster deres domain brugernavn og password. :)
> Der er nogle IE versioner der sender dit username / password hash
> uden du spørges. Det skulle gøre det lettere for brugeren at tilgå
> passwordbeskyttede websites.

Det ved jeg godt. Jeg prøvede blot at forstille mig, hvad der vil ske
når brugerne tilgår et Internet site, hvor webbrowseren vil prompte
brugeren for brugernavn/password.

>>Der har været mange huller i de "sikre zoner", bla. er 012012012012 lig
>>med 80.40.20.10. Og 012012012012 blev betragtet som en URL til et
>>intranet fordi der ikke er "." i URL'en.
>
>
> Jeg er interesseret i, om der der noget der ikke regnes som et
> hul. Men en "feature" i Windows.

En feature kunne være at sende en request til
http://localhost:2301/http://dit-web-site/ hvis du er heldig kører
brugeren med compaqs managment system, som kan udnyttes som en proxy.
Denne proxy vil IE betragte som en intranet-zone.

Jeg har dog ikke testet ovenstående, det er blot en indskydelse.

>>Ja, men det får man ikke via HTTP, men via en samba server.
> Men det er også helt OK for mig. Vil denne altid virke hvis man
> er inde på lokalnettet ? F.eks. via wireless ?

Det vil jeg mene.

>>Man kan fx bruge en firewall der sørger for RFC'erne for HTTP bliver
>>overholdt, fx en Raptor Firewall.
> Men denne vil ikke løse problemet på et LAN.

Hvis du deler dit LAN op i flere segmenter, vil problemet blive løst.



Peder Vendelbo Mikke~ (20-05-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 20-05-02 23:46

Povl H. Pedersen skrev:

> Der er nogle IE versioner der sender dit username / password hash
> uden du spørges. Det skulle gøre det lettere for brugeren at tilgå
> passwordbeskyttede websites.

Jeg kan ikke huske hvordan det var da jeg installerede IE 6, men man
kan i alt fald slå det til: Tools | Internet Options | fanebladet Ad-
vanced | Enable Integrated Windows Authentication.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >


Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408822
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste