|
|
|
联系客服020-83701501

Windows系统密码破解全攻略

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Windows零碎密码破解全攻略

此文章已发表在《黑客X档案》2009年第6期杂志上,后经作者hackest’s blog颁布在博客上,因为很是范例并且具体。固然文章有点老,但是从克日看来,对渗透人员仍是有很是大的助益滴,以是不由得转载了…

 

引子
我不绝在想,到底用甚么样的体式技俩手段较暂且地管制已经获得了 权限的指标呢?留后门,种木马,乃至是Rootkit?留的Webshell事业太领略,哪怕是一句话的Webshell,都极繁冗被管理员废弃。放了木 马,也繁冗被有教导的管理员查出来,终于当初能做到无声无色的木马仍是对比少。早期的是自己建个过程,完结掉过程就over了,那时有了注入过程的木马, 再那时另有了以供职创议的木马,另有些是转变某些没相关的零碎自有供职来创议的……不过上述设施荫蔽性都太差了,非论你的后门留得如何完美,非论你的木马法度模范多么免杀,到底仍是做不到不留任何事业。

是不是就不有举措了呢?非也,某后世(凋凌玫瑰)的一句名言惊醒了N多徜徉的菜鸟(如我之流):我突出不喜欢在供职器留木马大概后门,我对比喜欢把持管理员 进入的体式技俩来管理供职器(凋凌玫瑰文章原话引用)。管理员的进入体式技俩,怎样熟谙呢?换句话说就是,管理员是怎样进他供职器的,我们就怎样进他的供职器。如 果他是3389终端进入的,我们就终端进入,固然前提是要想举措获得他的管理员用户的密码;如果他是Pcanywhere进入的,我们就想举措获得他的 Pcanywhere密码进入;如果他是Radmin进入供职器的,我们也要想举措搞到他的Ramin密码进入。何等的话,荫蔽性就大大进步了,肉鸡人造 就不有这么繁冗跑掉了。如果他这个密码是域管理员密码,如果他这个密码或是管理部门机房的机器,如果他这个密码或是通杀他的内网,如果这个密码还能登录他 的QQ!浮夸点说,乃至他重装零碎了,还用的是这个密码,那你的肉鸡又重生了……了局真是太可怕了(擦下汗先)!废话少说,直入正题——Windows系 统密码破解全攻略。本文所指均为无物理兵戈的零碎密码破解,如果让黑客物理兵戈合计机,底子就不有甚么零碎进不去的,而且哄骗愈加繁杂,速度更快,呵呵。

布景
要破解一个法度模范的密码,要先体味它的一些布景知识。先来繁杂说 一下Windows零碎密码的加密算法。早期SMB协议在网络上传输明文口令。那时呈现”LAN Manager Challenge/Response”考证机制,简称LM,它是如此繁杂乃至很繁冗被破解。微软提出了WindowsNT挑衅/响应考证机制,称之为 NTLM。当初已经有了更新的NTLMv2以及Kerberos考证零碎。Windows加密过的密码口令,我们称之为hash(中文:哈 希),Windows的零碎密码hash默认状况下突出由两部门形成:第一部门是LM-hash,第二部门是NTLM-hash。如下形式摘选自保险中心:

————————————–引文初步———————————————-

一、如何从明文口令天生LM-Hash?

1、假如明文口令是”Welcome”,起首部门转换成大写WELCOME,再做如下革新:
“WELCOME” -> 57454C434F4D4500000000000000
先把WELCOME转换成十六进制形式,在明文口令不够14字节的状况下,背面增加0x00补足14字节。有些书上介绍增加空格(0x20)补足14字节,这是差错的,我不清楚是原作者写错了,仍是译者的题目。

2、此后切割成两组7字节的数据,分袂经str_to_key()函数(代码已附光盘)处理获得两组8字节数据:
57454C434F4D45 -str_to_key()-> 56A25288347A348A
00000000000000 -str_to_key()-> 0000000000000000

3、这两组8字节数据将做为DESKEY对幻术字符串”KGS!@#$%”终了规范DES加密(代码已附光盘):

“KGS!@#$%” -> 4B47532140232425

56A25288347A348A -对4B47532140232425终了规范DES加密-> C23413A8A1E7665F
0000000000000000 -对4B47532140232425终了规范DES加密-> AAD3B435B51404EE

4、将加密后的这两组数据繁杂拼接,就获得了扫尾的LM-Hash

Welcome的LM-Hash: C23413A8A1E7665FAAD3B435B51404EE。

显 然,因为明文口令一初步就部门转换成大写,招致多个明文口令对应一个LM-Hash。反早年,在穷举破解LM-Hash时,获得的有大概不是原始口令,因 为不大概注定大大写。经受窥察前述SMB身份考证过程,纵然这里获得的不是原始口令(大大写有差别),同样或是经由SMB身份考证。这种转换成大写的行为 减小了穷举破解难度。

另一个流弊,当明文口令小于8字节时,LM-Hash后8字节的合计过程老是何等的:

00000000000000 -str_to_key()-> 0000000000000000

对4B47532140232425终了规范DES加密-> AAD3B435B51404EE

这也将减小穷举破解难度。

IBM贪图了这个LM-Hash算法,幻术字符串”KGS!@#$%”的意义无从考证。这个算法称之为”哈希”不怎样妥当,因为是规范DES加密,完全是可逆的。固然,因为要穷举的是DESKEY本身,与古板所说的可逆有区分。

二、如何从明文口令天生NTLM-Hash?

IBM贪图的LM-Hash算法存在几个流弊,微软在僵持向后兼容性的同时提出了自己的挑衅响应机制,以是,NTLM-Hash应运而生。

1、假如明文口令是”123456″,起首转换成Unicode字符串,与LM-Hash算法分歧,这次不须要增加0x00补足14字节:

“123456” -> 310032003300340035003600

从 ASCII串转换成Unicode串时,独霸little-endian序,微软在贪图部门SMB协议时就没思考过big-endian序,ntoh* ()、hton*()函数不宜用在SMB报文解码中。0x80畴前的规范ASCII码转换成Unicode码,就是繁杂地从0x??变成0x00??。此 类规范ASCII串按little-endian序转换成Unicode串,就是繁杂地在原有每个字节之后增加0x00。

2、对所获得的Unicode串终了规范MD4单向哈希(代码已附光盘),非论数据源有几何字节,MD4静止产生128-bit的哈希值,16字节:

310032003300340035003600 -终了规范MD4单向哈希-> 32ED87BDB5FDC5E9CBA88547376818D4

3、就获得了扫尾的NTLM-Hash

123456的NTLM-Hash: 32ED87BDB5FDC5E9CBA88547376818D4。

NTLM-Hash与LM-Hash算法相比,明文口令大大写缓慢,但无奈遵照NTLM-Hash武断原始明文口令能否小于8字节,解脱了幻术字符串”KGS!@#$%”。

MD4 是真正的单向哈希函数,穷举做为数据源呈现的明文,难度较大。题目在于,微软一味浮夸NTLM-Hash的强度高,却避而不谈一个到底,为了僵持向后兼容 性,NTLM-Hash缺省老是与LM-Hash一同独霸的。这象征着NTLM-Hash浮夸再高也是无助于保险的,相通匿伏侵扰进犯着保险性。增加 NTLM-Hash后,起首把持LM-Hash的流弊穷举出原始明文口令的大大写不缓慢版本,再把持NTLM-Hash批改出原始明文口令的大大写缓慢版 本。

————————————–引文完结———————————————-

 

实战
理论筹备得差不多了,进入实战阶段。当你已经获得 Windows的零碎权限后,如何手段获得管理员的密码hash呢?分歧版本的Windows的hash获得设施纷歧样。下面将会具体介绍如何抓取各Windows版本的零碎密码hash。

用到的工存在 pwdump7.exe、GetHashes.exe、SAMInside.exe、LC5、Cain、Proactive Password Auditor、Ophcrack。

 

1、Windows 2000

对比老的一个Windows版本,同 时也有好几个子版本,当初还在许多供职器上跑着,固然遵从和保险性都有点跟不上期间的脚步了,但是我们也不克不及放过。本文次要针对供职器指标,以是测试零碎 为Windows 2000 低级供职器版,打了SP4补丁的,已更新局部补丁,如图1。

win1

 

2000下或是用pwdump7.exe来抓取零碎用户的hash,号令格局:pwdump7.exe >2000hash.txt,意义为抓取局部用户hash,并写入2000hash.txt这个文本文件,如图2。

WIN2

也或是用SAMInside自带的小对象GetHashes.exe,号令格局:GetHashes.exe $local >2000.txt,意义是抓取局部用户hash并写入2000.txt这个文本文件,如图3。

WIN3

还或是用图形界面的SAMInside,打开SAMInside,点击“File”,此后点击“Import local Users via Scheduler”,稍等一会就败北抓取到hash了,如图4、图5。

WIN4

 

WIN5

因为这个是把持Windows的方案任务来抓取的,以是Task Scheduler供职必需创议,不然抓不出来。抓到hash之后还要导出,以任意用其余更强大的破解对象终了破解使命。如果要导出局部用户的hash,就点击“File”,此后点击“Export Users to PWDUMP File…”,此后保管糊口为txt文本便可。如果只须要其中一个用户的hash,就选“Export Selected Users to PWDUMP File…”,同样保管糊口为txt文本便可,如图6。

WIN6

哄骗都对比繁杂吧。SAMInside同时也是一个破解对象,或是对抓取的hash终了繁杂的破解使命,还自带了一个常用字典,还或是撮合彩虹表终了破解,如果密码不是太芜杂,在这里便或是获得密码明文了。

专门提一下Windows 2000下的另一个获得管理员密码的设施,用aio.exe(aio是All In One的缩写,是一些小对象的集合)间接读取内存中的密码,Windows 2003 SP1、SP2补丁不有打的话,也或是何等读存入来密码明文。号令格局:aio.exe -findpassword,败北读出了密码,密码为2000,如图7。

WIN7

此设施只需在管理员登录了,而又不有挂号的状况下才或是败北读出密码。

 

2、Windows XP&Windows 2003

参照上面抓2000的,步调都差不多。不过对比保举用SAMInside抓取,因为pwdump7不太拘泥,偶然候抓到的hash纷歧定正确,乃至另有大概抓不出来……图开界面下用SAMInside抓取,号令行下用SAMInside自带的那个小对象GetHashes.exe抓取,hash突出保管糊口为txt文件便可。下面再介绍一些上面没提到的对象如何抓取hash,这些对象自己能抓,也能破解,对比强大。伶俐的读者大概会创举上面提到的对象只出场了一部门,另有好几个都还不有出面,嘿嘿……下面就来介绍下另外几个强大的对象。

LC5

如果要用LC5抓取本机的hash,就顺次打开“Session”->“Import”->“Local machine”稍等顷刻便或是败北抓取到hash了,如果你要导入破解hash,就选“Import from file”->“From PWDUMP file”导入便可终了破解,如图8、图9。

WIN8

 

WIN9

再点击小三角形按钮便或是初步破解了。固然你还或是对破解做一些调停,“Session”->“Session Options…”,在“Btute Force Crack”选项里的“Character Set:”里或是设置字符集,默认选的是alphabet+numbers,字母和数字,如图10、图11。

WIN10

WIN11

LC5是很是强大的,或是这么说,只需你的hash是正确的,就不有破不出来的密码,前提是你有足够的时间,我已经试过跑一个密码用了17天(不必惊异,以写本文畴前,我已经找到了比LC5更强大的对象,破解时间大大紧缩,背面将会提到^-^)!

Cain

Cain我信任许多喜欢嗅探的朋侪城市知道,但是你知不知道它除了嗅探之外还具备了强大的密码破解从命呢?如何用Cain来抓取hash呢,同样非常繁杂(试想像一下,你一边开着Cain嗅同网段其余机器的时候,一边破解已管制指标的管理员密码是一件多么酷的事情)。陈列Cain所需驱动WinPcap,手段创议Cain,不过如果你只是用它来破解密码,而不须要嗅探类哄骗的话,打开Cain的时候它揭示短少甚么文件就在陈列目次建一个同名dll文件便可打开(棍骗Cain,让它为我们供职,不过何等做固然不具备嗅探类从命)。点选“Cracker”->“LM&NTLM Hashes”,此后点下右边空白处,蓝色+号按钮便可激活,此后点击它,弹出“Add NT Hashes from”->“Import Hashes from local system”->勾选“Include Password History Hashes”,此后Next,hash就抓出来了,如图12、图13。

 

 

WIN12

WIN13右键单击你要破解的用户,“Brute-Force Attack”->“NTLM Hashes”->“Start”,就会初步暴力破解了,如果你的密码足够繁杂,很快就有得出结果,固然你同样或是像LC5一样选择你感受大概的字符集,以改进破解速度,还或是自定义字符集。Administrator的密码为2009,紧急破解,如图14、图15。

 

WIN14

 

WIN15

 

?3、Windows Vista&Windows 7&Windows 2008

眼尖的朋侪或是会创举另有两个对象不有出面,难道它们愈增强大?没错,读完本文你就知道它们到底强大到了甚么样的程度,或是或许负面所提到的东西不够以引起你的乐趣,那下面的东西将会让你对密码破解有一个更粗浅的熟谙。为甚么要把Vista及其背面的Windows零碎版本归并说明呢,固然是有缘由的。在Windows 2008中,微软对SAM和SYSKEY驳回了与畴前版本Windows分歧的加密设施,极端加密驳回的NTLM-Hash算法远比畴前的LM-Hash更芜杂许多,这使得畴前用于Windows NT/2000/XP上的破解管理员密码的设施完整绝对收效了(切实只是Windows 2008默认外形下把LM-hash禁用了,以是就增加了破解难度)。

ppa

下面轮到Proactive Password Auditor(如下简称ppa),这是一个贸易软件(就是要钱的那种),不过官方供应60天试用版本,从命有限定,低版本有破解版。该软件须要陈列,界面如图22。

WIN22

 

如果你要抓取Windows 2008的本机hash,那间接点击Dump便可抓取,默认是从“Memory of local computer”本地合计机内存抓取。该软件还支持注册表抓取,SAM文件抓取,同时支持远程抓取hash,紧急抓到hash,如图23。

win23

 

 

也支持导入hash破解,同时还支持暴力破解、字典破解、彩虹表破解。这里偏重介绍下彩虹表破解。起首要清楚,彩虹表是甚么东西呢?

小知识:甚么是彩虹表?

彩虹表就是一个宏大的、针对种种大概的字符组合其时合计好的哈希值的集合,纷歧定是针对MD5算法的,种种算法的都有,有了它或是快速的破解种种密码。越是芜杂的密码,须要的彩虹表就越大,当初支流的彩虹表但凡100G以上。

要用ppa合营彩虹表破解的设施也对比繁杂,Attack选择“Rainbow”->“NTLM attack”->“Rainbow tables list…”->“Add”选择导入彩虹表文件,格局突出为*.rt,我下载了海内一个收费的彩虹表,目前大小为207GB,残破表还会更大。导入局部彩虹表后,点击“Recovery”->“Start recovery”初步破解,如图24、图25。

win24

 

win25

 

这个软件总体感伤跑纯数学密码超级快,纵然是14位长的纯数字密码,也用不了几秒钟!ppa支持Vista和2008下破解。

Ophcrack

下面该轮到本文最有价格的软件——Ophcrack出场了!Ophcrack是一个收费的在合营彩虹表的基本上破解Windows零碎密码的对象。效用相等可观,它装备了一个Windows下的图形用户界面并且支持多平台运行。而且还或是下载官方的Ophcrack LiveCD刻录成光盘,便或是走到哪破到哪了!其官方站点为http://Ophcrack.sourceforge.net/,或是到官方下载陈列,如图26。

win26Ophcrack所用的彩虹表和常规的彩虹表不太一样,它识别不了*.rt格局的彩虹表,只认官方的彩虹表。常规的彩虹表无奈破解Vista、Windows 7、Windows 2008的密码hash。收费的彩虹表官方只供应三个:XP free small (380MB)、XP free fast (703MB)、Vista free (461MB),其余愈增强大的一些彩虹表则须要收取定然费用。陈列的时候须要留意,或是选择能否下载官方彩虹表,如果你想陈列好软件后另外自己下载则去掉勾选的选项便可,如图27。

win27

陈列完结,界面临比清爽吧,如图28。

win28

因为官方收费的一些表被海内的一些站点发布了,以是我下了两个对比常用的表:一个是XP special (7.5GB);另一个是Vista special (8.0GB),官方标价为99美元/个。至于更大的表则不有下载,切实有这两个表基本上都够用的了。别看它表体积不大,但手腕不容小觑。似乎是做过某种优化和延长,打开Ophcrack,“Load”->“Local SAM”,此后一个黑窗口闪过(切实到Ophcrack的陈列目次便或是创举,它实际上是用pwdump6来抓取hash的,不过pwdump6相对pwdump7来讲对比拘泥)败北抓取hash,图是在Windows 2003下哄骗的,因为Ophcrack用的是pwdump6,无奈在Windows 2008及Vista下抓取hash(或是思考转变pwdump6为pwdump7来改进这一从命,不过我不有败北,妙技有限啊-_-),如图29、图30。

win29

win30

Tables标签下或是看到已陈列的彩虹表,如果陈列软件的时候不有下载官方彩虹表,前期下载完彩虹表后或是在Tables里终了陈列,如图31。(小编语:下载的彩虹表要放在英文目次下,不然导入的时候就会不绝揭示彩虹表不残破大概找不到彩虹表,血突出的教导啊

 

 

win31

此后便或是按Crack终了破解了。固然说Ophcrack抓取hash的才干有所不够,相对在Vista下而言,但是我们或是用别的的hash抓取对象获得hash后再导入破解。来看看Ophcrack的破解成就图吧,密码14位,如图32。(小编语:已经履行的结果是——一个14位大大写+字母混合的密码。破解用了17秒!!!用了AMD双核渣CPU

 

win32

 

须要留意的是,Vista下抓取的hash须要用Vista的彩虹表来破解,不然会破解战败!不过据说BitLocker加密也被海内黑客破解了,不过找不到相关资料,以是再也不深入根究,乘乐趣的朋侪或是自己测试。

在线查问

如果你感受上面提到的这么多东西都太贫困,有不有在线查问hash的站点呢?答案是必定的!海内有一个在线查问hash的站点:http://www.objectif-securite.ch/en/products.php,和Ophcrack的官方有点相关的哦,嘿嘿……不过在线查问只容许查tables XP free的表,有点遗憾……同时颇为要指出的是,在线查问的时候须要留意hash的格局。比喻用户名和密码但凡hackest的hash为:
hackest:1011:7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1:::
我们只须要把7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1复制填入hash背面的框,再点击submit hash便可终了查问,同时也支持输出密码返回hash值,如图33。

win33Vista如果关闭BitLocker则以上设施均无效,底子无奈抓取到hash,不过幸亏BitLocker默认是关闭的,不是颇为须要的用户突出不会关闭它。

跋文

固然了,破解相当烦忙的主hash的正确性,限定是密码的长度能否超过14位,另有密码所形成的字符集,乃至是中文的密码就无奈破解。为甚么密码长度超过14位也无奈破解呢,因为NTLM-hash只支持到14位,目前还不有突破的设施。只需你负责阅读过本文,我信任你已经能破解绝大部门的Windows零碎密码hash了,固然如果管理员用了组策略限定某个用户的密码有限限日为24小时,而克日又主动启用另一个随机的密码,那破解密码就完全不成心义了(曾在美国某供职器碰到过这种变态级的管理员)。Windows下的密码就差不多说完了,那Linux下的零碎密码又如何破解呢?切实愈加繁杂(已经在Ubuntu8.10下用john秒杀了我自己的密码),不过不在本文根究局限以内,盼愿乘乐趣的朋侪自己去尝试。大概这篇文章会让许多朋侪头疼,因为这外观介绍的软件不有一个是中文的!这说了了甚么题目呢?外洋与海内的妙技仍是有一个理论性的分歧!切实有些软件也有汉化版,为甚么不选用呢?汉化版大多数不腌臜,而且如果你是一个自强的妙技人员的话,不或是连一点点英文都不会,如果你对英文软件感伤头疼,呵呵,还须要增强英语水平哦(固然我自己的英语水平都很烂-_-别说我崇洋媚外啊,好东西就是要深造嘛)。不须要你英语几何级,但最最少你得清楚软件上写的是甚么意义,能读懂局部英文妙技文档,从中获得自己所须要的妙技细节,从而达到增强自身的指标!本文仅作妙技变动,切勿用于犯警用处,不此了局自卑。

 

日币惩处:

本文为转载文、且文末对文章内大概呈现题目终了总结并得出深造设施,遵照本站积分划定给予日币惩处共1枚。

AD:本站凋谢零落投稿及积分(日币),日币可兑换什物惩处,每个月top3可获得礼品一份。

数安新闻+更多

证书相关+更多