一些Windows处事器体系登录安详与NTFS能力

windows中对用户帐户的安详打点行使了安详账号打点器(Security Account Manager)的机制，安详账号打点器对账号的打点是通过安详标识举办的，安详标识在账号建设时就同时建设，一旦账号被删除，安详标识也同时被删除。安详标识是独一的，纵然是沟通的用户名，在每次建设时得到的安详标识都是完全差异的。

安详账号打点器的详细示意就是%SystemRoot%system32configsam文件。sam文件是Windows的用户帐户数据库，全部用户的登录名及口令等相干信息城市生涯在这个文件中。

假如我们用编辑器打开这些sam文件，除了乱码什么也看不到。由于NT体系中将这些资料所有举办了加密处理赏罚，一样平常的编辑器是无法直接读取这些信息的。

SAM文件的位置：

第一个：C:WINDOWSrepairSAM

第二个：C:WINDOWSsystem32configSAM

第一个位置的SAM是账户数据库的备份文件，第二个是体系正在行使的账户数据库文件。

SAM是组成windows注册内外的五大分支之一，详细内容生涯在%SystemRoot%system32configsam里;在windows域节制器上，账户和口令字谜文生涯在勾当目次(Active Directory，AD)里，对应文件是：%SystemRoot%ntdsntds.dit这内里包括不止是Username和HASH，尚有OU、Group等等。破解方法：

(1)Sam文件存储在C:WINDOWSsystem32config文件夹内，指直接复制粘贴不行行。

(2)行使hWinHax，将目次下的SAM文件和system文件导出。或行使samcopyer直接复制导出SAM文件。

(3)行使ophcrack举办彩虹表破解：运行ophcrack点击load->encrypted sam->再选择适才筹备好的sam文件,加载彩虹表后点击crack，即可。

--LSA(当地安详认证)注入：

当地安详认证(Local Security Authority)浸染：挪用全部的认证包，搜查注册表;从头找回当地组的SIDs和用户权限;建设用户的会见令牌;打点当地安装的处事所行使的处事账号;储存和映射用户权限;打点考核的计策和配置;打点信赖相关……

破解方法：

WinPswLogger2：windows的身份验证一样平常最终都是lsass历程，默认模块是msv1_0.dll，而要害在其导出函数LsaApLogonUserEx2。本措施通过注入代码到lsass历程hook LsaApLogonUserEx2，截取暗码。在cmd中加载响应dll文件即可。

--Netlogon Service(NTLM认证)：

早期SMB协议在收集上传输明文口令。其后呈现了LAN Manager Challenge/Response 验证机制，简称LM，它是云云简朴以至于很轻易被破解。微软提出了WindowsNT挑衅/相应验证机制，称之为NTLM。此刻已经有了更新的NTLMv2以及Kerberos验证系统(生涯的加密后的散列称为hash，一样平常翻译作"散列"，也有直接译为“哈希”的，就是把恣意长度的输入，通过散列算法，调动成牢靠长度的输出，输出的就是散列值。这种转换是一种压缩映射，也就是，散列值的空间凡是远小于输入的空间，差异的输入也许会散列成沟通的输出。以是不行能从散列值来独一地确定输入值。)NTLM是windows早期的安详协议，因向后兼容性而保存下来。NTLM是NT LAN Manager的缩写，即NT LAN打点器。

NTLM的合用场景：

在收集情形中，NTLM用作身份验证协议以处理赏罚两台计较机(个中至少有一台计较机运行windows NT 4.0或更早版本)之间的事宜。譬喻，以下罗列了两种设置将行使NTLM作为身份验证机制：

Windows或Windows xp professional 客户端向 Windows NT 4.0 的域节制器验证身份。

Windows NT 4.0 WorkStation 客户端向Windows 或Windows Server 2003 域节制器验证身份。

NTLM道理理会：

理会之前先看NTLM传输的例子TELNET

通过[开始]--[收集器材]--[处事] (或运行tlntsvr.exe措施)就可启动该处事。在客户端单击“开始”按钮，在弹出的菜单中选择“运行”呼吁，然后输入以下呼吁成立毗连：

telnet[Remote-system][Port-number] 

正常环境下，处事启动后，键入该呼吁后应该是长途计较机回送Login和Password信息，提醒用户输入用户名和口令。

然则细心看看上表现，基础没有给你输入用户名和暗码的机遇，直接断开毗连，这是什么缘故起因呢？

原本是win2000往后的telnet的一种验证身份方法所致：Windows NT LAN Manager(NTLM)

NTLM的事变流程：

(1)客户端起首在当地加密当前用户的暗码称为暗码散列；

(2)客户端向处事器发送本身的账号，这账号是没有颠末加密的，明文传输；

(3)处事器发生一个16位的随机数字发送给客户端，作为一个challenge(挑衅)；

(4)客户端再用加密后的暗码散列来加密这个challenge，然后把这个返回给处事器。作为response(相应)

(5)处事器把用户名、给客户端的challenge、客户端返回的response这三个对象，发送域节制器；

(6)域节制器用这个用户名在SAM暗码打点库中找到这个用户的暗码散列，然后行使这个暗码散列来加密challenge。

(7)域节制器较量两次加密的challenge，假如一样，那么认证乐成。

从上面的进程中我们可以看出，NTLM是以当前用户的身份向Telnet处事器发送登录哀求的，而不是用你本身的账户和暗码登录的，显然，你的登岸将会失败。

破解方法：

(1)在呼吁行行使pwdump7，获取NTLM散列；

(2)在ophcrack内load中选择single hash，复制需破解用户的NTLM散列；

(3)用彩虹表破解。

防御要领(榨取LMHASH存取)：

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!