home *** CD-ROM | disk | FTP | other *** search
/ Black Crawling Systems Archive Release 1.0 / Black Crawling Systems Archive Release 1.0 (L0pht Heavy Industries, Inc.)(1997).ISO / advisories / LC15SRC.ZIP / readme.txt < prev    next >
Text File  |  1997-07-12  |  6KB  |  156 lines
  1.     
  2.                           L0phtCrack 1.5
  3.                          Released 7/12/97
  4.  
  5.           Available at http://www.l0pht.com/advisories.html
  6.  
  7.                          mudge@l0pht.com
  8.                          weld@l0pht.com 
  9.  
  10. OVERVIEW
  11.  
  12. L0phtCrack 1.5 is a tool for turning Microsoft LANMAN and NT password
  13. hashes back into the original clear text passwords.  The program
  14. does this using dictionary cracking and also brute force.  L0phtCrack
  15. 1.5 returns not just the LANMAN passord but the NT password up to 14
  16. characters in length.
  17.  
  18. Version 1.0 of L0phtCrack was deficient because the graphical version
  19. of the program did not support the brute force method.  This has been
  20. fixed for version 1.5.  The brute force efficiency has been improved
  21. and an option to select the character set that makes up the password
  22. has been added.
  23.  
  24. The default behavior of L0phtCrack is to do a dictionary attack on the
  25. password file and then brute force the remaining uncracked passwords.
  26. Sample password files are named pwfile.txt, pwfile2.txt, pwfile3.txt
  27. and pwfile4.txt.  A 28000 word dictionary file is included named
  28. wfile.txt.  You can dump passwords directly from L0phtCrack if you have
  29. administrator rights.
  30.  
  31. L0phtCrack 1.5 includes the ability to dictionary attack or brute force
  32. the network NT server challenge that is used to prevent the OWF from
  33. going across the wire in its plaintext format.  Sample network sniffed
  34. challenges are in files sniff.txt and sniff2.txt.  This means you
  35. can get NT passwords without administrator privileges if you have network
  36. access between the client and the server.
  37.  
  38. You can build the sniff files by hand using your favorite network analyzer
  39. or wait for our tool which sniffs the network and builds these files.
  40. The sniffing tool will be made available shortly.  
  41.  
  42. Also to be made available shortly is a commercial multiprocessor
  43. version, L0phtCrack/SMP 1.5 for NT and Solaris.  Contact l0phtcrack@l0pht.com
  44. for more information.
  45.  
  46. FILES IN THE EXECUTABLE DISTRIBUTION - LC15EXE.ZIP
  47.  
  48. lc_cli.exe is the command line version of the program.  Run this if you 
  49. think little status counters are sucking up all you performance. Source
  50. code for this program that will build on Win95/NT or Unix is included in the
  51. source code distribution: lc15src.zip or lc15src.tar.gz
  52.  
  53. lc_gui.exe is the NT graphical version of L0phtCrack.
  54.  
  55. lc_guipro.exe is the NT graphical version of L0phtCrack that has been compiled
  56. with Pentuim Pro optimizations turned on.
  57.  
  58. lc_gui95.exe is Win95 graphical version of L0phtCrack. This version does not
  59. support password dumping due to Win95 limitations.
  60.  
  61. FILES IN THE SOURCE DISTRIBUTION - LC15SRC.ZIP or LC15SRC.TAR.GZ
  62.  
  63. This archive contains all the source to build the command line version of
  64. L0phtCrack 1.5.
  65.  
  66. PERFORMANCE
  67.  
  68. Dictionary cracking is extremely fast.  L0phtCrack running on a Pentium Pro
  69. 200 checked a password file with 100 passwords against a 8 Megabyte dictionary
  70. file in under one minute.
  71.  
  72. Brute forcing is always an extremely CPU intensive operation.  We have worked
  73. to optimize this in L0phtCrack 1.5.  L0phtCrack running on a Pentium Pro
  74. 200 checked a password file with 10 passwords using the alpha character set
  75. (A-Z) in 26 hours.  The graphical verion of L0phtCrack 1.5 features a 
  76. percentage done counter and a time remaining estimate so you can gauge when 
  77. the task will be complete.
  78.  
  79. L0phtCrack 1.5 allows you to select one of 5 character sets to brute force
  80. passwords that use more characters than A-Z.  As the character sets increase
  81. in size from 26 characters to 68 the time to brute force the password
  82. increases exponentially.  
  83.  
  84. This chart illustrates the relative time for larger character sets. 
  85.  
  86. Char                Relative 
  87. Size    Iterations      Time
  88.  
  89. 26    8353082582    1.00
  90. 36    80603140212    9.65
  91. 46    4.45502E+11    53.33
  92. 68    6.82333E+12    816.86
  93.  
  94. So if 26 characters takes 26 hours to complete, 36 characters (A-Z,0-9) would
  95. take 250 hours or 10.5 days.  Now of course this is the worst case senario of
  96. the password being 99999999999999. A password such as take2asp1r1n would 
  97. probably be computed in about 7 days. 
  98.  
  99. NT Server Challenge Sniffing
  100.  
  101. Here is a description of the challenge that takes place over the network
  102. when a client, such as a Windows 95 machine, connects to an NT Server.
  103.  
  104.         [assuming initial setup etc...]
  105.  
  106.            8byte "random" challenge
  107.      Client <---------------------- Server
  108.      OWF1 = pad Lanman OWF with 5 nulls
  109.      OWF2 = pad NT OWF with 5 nulls
  110.      resp = E(OWF1, Chal) E(OWF2, Chal)
  111.            48byte response (24byte lanman 24byte nt)
  112.      Client -----------------------> Server
  113.  
  114. The client takes the OWF ( all 16 bytes of it) and pads with 5 nulls. 
  115. From this point it des ecb encrypts the, now 21byte, OWF with the
  116. 8byte challenge. The resulting 24byte string is sent over to the
  117. server who performs the same operations on the OWF stored in it's
  118. registry and compares the resulting two 24byte strings. If they 
  119. match the user used the correct passwd.
  120.  
  121. What's cool about this? Well, now you can take your sniffer logs
  122. of NT logons and retrieve the plaintext passwords. This does not
  123. require an account on the NT machine nor does it require previous
  124. knowledge of the ADMINISTRATOR password. 
  125.  
  126. So even if you have installed Service Pack 3 and enabled SAM encryption 
  127. your passwords are still vulnerable if they go over the network.
  128.  
  129. Special thanks go out to:
  130.  
  131.  - Hobbit@avian.org for all the cool ideas and bare feet. Especially
  132.    for his monster paper on CIFS problems.
  133.  
  134.  - Jeremey Allison jra@cygnus.com - for the fantastic sleuthing with
  135.    PWDump.
  136.  
  137.  - tuebor@l0pht.com for a some nice little code tips and generall coolness.
  138.  
  139.  - the people who did SAMBA for being nuts!
  140.  
  141.  - the people who did libdes for being nuts!
  142.  
  143.  - Yobie for always fighting giants.
  144.  
  145.  If anyone makes modifications / improvements please mail the diffs to
  146.  mudge@l0pht.com.
  147.  
  148.  We hope this tool is useful,
  149.  
  150.  mudge@l0pht.com , weld@l0pht.com
  151.  
  152.  
  153.  
  154.  
  155.  
  156.