Oktober 9, 2021

lokal Admin lockout…

lokal Admin lockout…
Photo by Mitchel Lensink / Unsplash

Die Anfragen kommen meist aus dem familiären Umfeld oder dem Bekanntenkreis und beginnen ungefähr so:

Ach, du kennst dich ja mit Computer aus oder?
Mein Mann/Frau/Freund/Bekannter hat nämlich auf meinem PC das Passwort geändert und jetzt weiß er es nicht mehr.

So oder so ähnlich begann auch diese Anfrage welche mich seit langem wieder einmal in die Welt der lokalen Benutzer von Windows geführt hat. Genauer ein Windows 10 sogar am aktuellsten Patch-Stand.

Verschiedene Vektoren wurden analysiert und dann fiel mir auf, dass bei diesem PC keine Bitlocker-Laufwerksverschlüsselung aktiviert worden war, sodass wir uneingeschränkten Zugriff auf die System-Disk hatten.
Das ebnet uns den Weg einer guten alten veränderung der SAM-Datei.

Die SAM Datei beinhaltet alle wichtigen Informationen zu angelegten lokalen Benutzern, den Passwörtern (hashed), deren Status und deren Gruppenmitgliedschaften.

SAM Datei abziehen

Mit einem Bootstick kann ohne aktivem Bitlocker ganz mühelos eine Kopie der folgenden Datei auf den Stick kopiert werden.

C:\Windows\System32\Config\SAM

SAM Datei manipulieren

Dazu booten wir einfach eine KALI Instanz hoch, ob Live-Version, Virtualisiert oder Installiert spielt hierbei keine Rolle.
Über folgenden Befehl wird der Inhalt des SAM Files ausgegeben:

chntpw -l <SAM-File Name>
chntpw -l <SAM-File Name>

Über den nächsten Befehl können dann verschiedene Aufgaben durchgeführt werden und der jeweilige Benutzeraccount modifiziert werden:

chntpw -u <USERNAME> <SAM-File Name>
chntpw -u <USERNAME> <SAM-File Name>

Hier kann z.b. über Option „1“ das User-Passwort auf leer gesetzt werden.

Danach muss die modifizierte SAM Datei wieder über die alte C:\Windows\System32\config\SAM kopiert und überschrieben werden.
(Bitte vorher die unveränderte Datei sichern!)