密码破解Windows XP

系统口令加密机制

Windows NT/2K/XP等系统使用sam文件保存口令。sam文件是Windows NT/2000的用户账户数据库,所有用户的登录名及口令等相关信息都保存在这个文件中。系统在保存sam信息之前对sam信息进行了压缩处理,因此,sam文件中的信息不可读取。此外,在系统运行期间,sam文件被system账号锁定,即使是administrator账号也无法打开。

Windows NT/2K/XP系统采用了两种加密机制,所以,在sam文件中保存着两个口令字,一个是LanMan版本的(LM散列值),另一个是NT版本的(NT散列值)。

LanMan散列算法:LanMan散列算法处理用户口令的过程是:首先将用户口令分成两半,每一半都是7个字符。分别对这两个口令字加密。然后是将加密后得到的散列值串连在一起(不足7个字符的以空格补齐),得到最终的LM散列值。

NT散列算法:NT/2000的密码散列由两部分组成,一部分是通过变形DES算法,使用密码的大写OEM格式作为密钥(分成2个KEY,每个KEY7字节,用0补足14个字节),通过DESECB方式获得一个128位的密钥,加密特殊字符串“KGS!@#$%”获得的一个16字节长度的值。另一部分则是使用MD4对密码的UNICODE形式进行加密获得的一个散列。

2.口令破解原理

无论口令加密采用DES算法、MD5算法,还是其他机制,因为它们具有单向不可逆的特性,要想从算法本身去破解,难度相当大,通常只存在理论上的可能性。由于各种加密算法都是公开的,虽然逆向猜解不可行,但从正向猜解却是很现实的。因为,设置口令的用户是人,人们在设置口令时,习惯使用一些容易记忆且带有明显特征的口令,如用户名、生日、电话号码、亲友姓名等,这就给我们破解口令带来机会。 我们可以制作一个字典文件:里面的条目都是经常用作口令的字串。猜解口令时,就从字典文件中读出一个条目作为口令,使用与系统口令加密算法相同的方法进行加密,得到的字串与口令文件中的条目进行比较,如果相同,则猜解成功;否则,继续下一次尝试。最终结果可能得到了真正的用户

口令,也可能字典文件条目用尽而不能破解。

口令破解的方法主要是字典法,利用字典文件进行口令猜解。常见的口令猜解模式主要是:

字典模式:即使用指定的字典文件进行口令猜解。

混合模式:即指定字典规则,对字典条目进行某种形式的变化,增加字典内容,提高猜解的效率。

暴力模式:即遍历所有可能的密钥空间,进行口令猜解。

3.口令破解的方法

不同系统使用的口令保护方式不同,对应的口令破解方法、破解工具亦不同。

Windows 9X系统:Windows 9X系统没有设置严格的访问控制,因此,可以通过重新启动系统等方法进入系统,然后将C:\Windows目录下所有的pwl文件(*.pwl)拷贝到磁盘上,最后,使用专用工具pwltool,即可破解出系统的口令。pwltool支持暴力、字典、智能3种模式的口令破解。

Windows 2K系统:Windows 2K使用sam文件保存用户账号信息,系统运行期间,sam文件是被system账号锁定的,而且,sam文件信息在保存前经过压缩处理,不具有可读性。要破解Windows 2K系统的账号,就必须先获取sam文件,然后,使用工具L0phtcrack进行口令猜解工作。

获取sam文件的方法有:

获取%SystemRoot%\system32\config\sam文件,这种方式适用于黑客可以直接接触目标主机,且该主机安装有多种操作系统。

重新启动主机,进入其它操作系统,如Windows 98。如果Windows NT/2000是以FAT16/32磁盘格式安装的,则可以直接读取sam文件;如果Windows NT/2000是以NTFS磁盘格式安装的,则可以借助工具NTFS98,在Windows 9x中读写NTFS磁盘的内容,或者借助工具NTFSDOS,在DOS环境下读写NTFS磁盘内容。

add;实验工具

(1)pwdump

  Pwdump7可以在CMD下提取出系统中的用户的密码hash (包括LM和NTLM),当然必须要有系统权限.提取出了HASH,再用ophcrack破出明文密码,对进一步渗透是有很大帮助的,经我测试,在XP下是可以成功提取出来的.这个工具需要一个DLL文件支持,压缩包中带的,只需放到一个文件夹中即可,用法很简单.

  (2)SAMInside工具

  SAMInside为一款俄罗斯出品的Windows密码恢复软件,支持Windows NT/2000/XP/Vista操作系统,主要用来恢复Windows的用户登录密码。多数的Windows密码恢复软件都是将Windows用户密码重置,比如Passware Kit系列中的Windows Key或者Active@ Password Changer Professional等等,而如果此时用户恰好使用了NTFS文件系统,并且将文件用NTFS的特性EFS(加密文件系统)加密了的话,则这些文件将变成永久不可读数据。SAMInside则是将用户密码以可阅读的明文方式破解出来,而且SAMInside可以使用分布式攻击方式同时使用多台计算机进行密码的破解,大大提高破解速度。



在操作机的“运行”编辑框中输入“mstsc”后回车,将打开远程桌面连接程序,如下图所示:

1

点击“选项”下拉框,切换到“本地资源”选项卡,如下图所示:


2

点击“本地设备和资源”组合框中的“详细信息”按钮,勾选“驱动器”选项后点击“确定”按钮返回,如下图所示:

3

切换回到“常规”选项卡,在“登录设置”组合框的“计算机”编辑框中输入目标主机(目标机示例 IP 地址为100.100.0.29)的 IP 地址,点击最下方的“

连接”按钮,如下图所示:


4

在远程桌面连接窗口中输入如下凭证信息后点击“确定”按钮登录: 用户名:administrator,密码: 123456,如下图所示:

5

登录成功之后,回到操作机,然后进入操作机的实验工具目录进入实验工具目录“D:\1、信息安全\2、网络安全\08网络对抗课程\7.密码破解之Windows XP系统本地密码破解实验”,将“Tools.rar”文件“解压到当前文件夹”,将解压后的 pwdump7 目录全部上传至目标机上去,存放到 C:\根目录中。如下图所示:

6

进入到目标主机,首先查看该主机的密码策略。 在目标主机的开始菜单中打开运行对话框,输入 secpol.msc 打开本地安全策略编辑器。 访问安全设置,帐户策略,点击密码策略,进行如下设置:

  禁用密码必须符合复杂性要求。设置密码长度的最小长度:8位。

  如下图所示:

7

在目标主机中新建一个用户,密码设置为 8-14 的随机纯数字组合,如用户名为“test”,密码为:“8967584106754”(后续实验会用到,请使用该密码)。

可打开一个命令提示符,输入如下命令直接添加用户。

net user test 8967584106754 /add


8

 当然,也可以通过控制面板中的用户帐户组件来添加新用户并为其设置密码。如下图所示:

9

在目标主机上打开一个命令提示符,进入“pwdump7”目录,运行 PwDump7.exe 后即可直接显示本 地计算机上所有用户及其密码散列值(包括 LM 散列值和 NTLM 散列值)

下图输出信息中每一行就是一个用户的信息,基本格式如下: “用户名:安全相对表示符(RID):LM 散列:NTLM 散列:::”

如下图所示:

10

10接着,我们使用如下命令将上述用户散列信息存储到磁盘上的“C:\Sam.txt”文件中去。

pwdump7 > c:\sam.txt

11

11进入目标机目录C:\pwdump7文件夹,打开 sam.txt 文件,选择其中“test”用户的那一行用户散列信息,保存到操作机的文件 “sam_export.txt”中去,如下图所示:

12

回到本地主机,进入实验工具目录中解压后的“SAMInside 2.6.3”目录,双击运行 SAMInside 程序(SAMInside.exe),显示主界面如下所示。

13

注:如果主界面中已经显示出了一些用户列表,可能是初始使用时自动获取本地主机的用户列表信息,这时候请选择菜单项“Edit”・“Delete All Users”来清除所显示的用户列表。

  2.2点击菜单项“File”中的“Import From PWDUMP-file...”。


14

然后选择前面存储的目标主机密码散列文件“sam_export.txt”,点击“打开”按钮返回主界面。


15


16

点击菜单项“Audit”,确认勾选“LM-Hash Attack”,确认勾选“Brute-force Attack”,即暴力破解方式

17

点击菜单项“Service”中的“Options”,在左侧选择“Brute-force Attack”,然后在右侧定制暴力破解的字符集。

  为了保证实验的时间,因此我们在前面添加的临时测试用户的密码为 8-14 位的随机纯数字组合,所 以我们在这里仅选择“[0…9]”字符集;确认最小的密码长度为 1,最大的密码长度为 7,然后点击 “OK”按钮后回到主界面。如下图所示

18

点击菜单项“Audit”中的“Start Attack”开始破解密码散列。破解瞬间完成,在下图中可以看到成功破解了“test“用户的密码。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,047评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,807评论 3 386
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,501评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,839评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,951评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,117评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,188评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,929评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,372评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,679评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,837评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,536评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,168评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,886评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,129评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,665评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,739评论 2 351

推荐阅读更多精彩内容

  • Windows XP的使用过程中如果你是一个很容易遗忘的人,那么一定不要忘记在第一次设置密码的同时创建一张可以恢复...
    坤哥_6359阅读 907评论 0 2
  • 考虑到网络应用数据的安全性时,建立一个渗透测试方法变得越来越重要。我们越来越依赖于网络通信与基于云的数据系统,这些...
    点融黑帮阅读 2,267评论 0 10
  • linux资料总章2.1 1.0写的不好抱歉 但是2.0已经改了很多 但是错误还是无法避免 以后资料会慢慢更新 大...
    数据革命阅读 12,150评论 2 34
  • 2018年的第一场雪比2016年来得早一些!2016年1月31日那天雪花纷飞,水温4.5度。我迎来了冬泳的...
    天蝎妮阅读 796评论 8 6
  • 小恐龙: 晚上好!今天我很高兴,因为我收到了你亲手为我写的曲子,我现在正一边听着这首曲子,一边给你写这封信。...
    修远在成长阅读 162评论 0 0