史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-11-15, 06:11 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 pwdump --NT系統帳戶安全稽核利器

pwdump --NT系統帳戶安全稽核利器

作者:sheepxxy

前言:本文面向新手,因此不僅僅事簡單地介紹pwdump工具的指令語法,也對shell等新手比較困惑的概念有所闡述,也許顯得比較雜亂,見諒~~:P
眾所周知,獲得帳戶,可謂對WINNT類系統滲透測試最重要的工作。為了達成這個目的,我們可以通過使用既定的緩衝區溢出來獲得一個具有一定權限的shell;也可以使用密碼破解,網路嗅探以及社完成工作程等辦法得到一個帳戶的密碼,從而光明正大地使用一個帳戶進入NT系統。對一個NT系統帳戶安全形度進行全面的審計工作,最常用的方法即是使用pwdump來獲取帳戶的密碼散列以配合L0pht Crack等密碼破解工具來測試每個帳戶的密碼強壯度。

隨著WINNT的逐步更新換代,pwdump使用的技術也在不斷的進步

pwdump --> 未啟用syskey措施的winNT4系統

pwdump2--> 已啟用syskey措施的winNT4系統 - win2000[預設啟用syskey措施] --> [本機獲取散列]

pwdump3--> 已啟用syskey措施的winNT4系統 - win2000[預設啟用syskey措施] --> [遠端獲取散列]


NT系統帳戶密碼是儲存在SAM[Security Accounts Manager 安全帳戶管理器]文件中的,WIN2000的域控制器則不依賴SAM,它將密碼儲存在Active Directory 活動目錄中。不過,針對不同的NT系統帳戶密碼儲存措施,pwdump的歷代產品都有其特別的獲取散列的技術。

L0pht Crack 是眾所周知的NT上最強大和易用的帳戶密碼破解工具,它需要的是帳戶密碼的散列,通過得到的帳戶密碼散列來破解密碼,由於NT帳戶密碼使用的加密算法不夠強大,以及L0pht Crack成熟的設計,使得黑客在一般情況下,只要獲得密碼散列就可以在不長的時間內得到全部帳戶的密碼。而獲取的帳戶密碼散列的方法也有許多種,比如偽裝成一個版本比較低的WIN系統來進行SMB協商欺騙等。不過伺服器通過安全配置,可以拒絕接受低級SMB協商,這樣就避免了密碼散列在網路上傳遞;另外,由於交換網路的逐步普及,使得關於嗅探技術來獲取帳戶密碼散列的方法更加難於奏效,於是pwdump系列工具這種從註冊表中轉存出帳戶密碼散列的方法日益受到黑客和安全稽核人員的重視。

最早的pwdump第一代由 Jeremy Allison 編製,它事實上只是簡單的從註冊表中提取密碼散列並轉存為UNIX系統的/etc/passwd 文件的格式,以供L0pht Crack等破解工具破解,前提是你得具有administrator權限,由於之後微軟在之後的SP中提供了的對syskey增強SAM文件加密的原則,因此這個工具不再對昇級後的系統起作用。

之後的 pwdump2 [程序編製:Todd Sabin] 可以算是具有比較高的編制技巧,它使用DLL注射技術來將自己的程式碼[這些程式碼在samdump.dll中]載入到另一個高特權行程下,這樣將能執行一個直接訪問syskey 加密後密碼的內部API使用,也就事實上繞過了syskey提供的128位MD5加密保護原則以獲取帳戶密碼散列。諷刺的是,pwdump所利用的高特權行程事實上正是微軟引以自豪的WIN2000安全架構的一部分 Local Security Authority Subsystem [本機安全權威子系統]的行程 lsass.exe ,pwdump2 將把samdump.dll注射到lsass.exe中,在lsass.exe的高特權的行程位址空間中執行自己的程式碼,繞過幾乎無法破解的syskey原則,使之成為一道馬其諾防線。pwdump2 只能使用於本機,也就是說待破解帳戶屬於哪個系統,則pwdump必須工作在那個系統的記憶體空間中,說得通俗一點:如果你打算在自己的電腦上使用pwdump2對一台遠端NT系統進行帳戶安全測試[或者說:入侵],則必須先獲得一個來自目標系統的shell

pwdump2 有兩個版本,比較早的版本需要使用者手工獲取目標行程[一般是lsass.exe]的PID,可以使用Pulist,pslist等工具來操作,當然最簡單的還是使用新版的pwdump比較好,自動獲取PID,便宜了懶人。

下面是一個例子,我們將利用由netcat建立的shell,在目標電腦上執行pwdump2,當然,pwdump2.exe和 samdump.dll 已經事先傳輸到那了。

+------------------------------------------------+
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\sheepxxy>nc [IP] [port]

Microsoft Windows 2000 [版本 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>pwdump2
Administrator:500:01cfe7eff5ebc5b4bd7fb87c6eac93bc:562cab23fe56ebac8e9f2f4bc3ac2bb7:::
Guest:501:ee4dbc678be7caba9b5e78f653bac8f2:b48cc3e7e6e5f3ff2c8b9cab787b4c1f:::
hackart:1016:63245e87b33bbba9a8f9f4e5dd6d944e:b4f6120c78a8a7acbb36f2e6964bcfe5:::

...........其餘帳戶密碼散列此處省略.........

+------------------------------------------------+

對上面這個shell 的解釋:「Microsoft Windows XP [版本 5.1.2600] (C) 版權所有 1985-2001 Microsoft Corp.」這表明安全稽核工作者自己的機器是Windows XP的操作系統,同樣的,下面的:「Microsoft Windows 2000 [版本 5.00.2195] (C) Copyright 1985-1999 Microsoft Corp.」則表明本次待測試的機器系統是Windows 2000,筆者特意在此闡敘得詳細一些,因為往往很多新手會不明白使用shell遠端交互是怎麼回事。事實上本例在同一個cmd環境中,使用的nc.exe和pwdump2.exe 指令在執行上是不一樣的: nc.exe 的行程執行在本機記憶體空間,它在本機機器[Windows XP]的操縱之下與遠端系統[Windows 2000]交互;而pwdump2.exe執行在遠端機器記憶體空間中,遠端機器執行完畢後將結果返回給你。

另外值得注意的是帳戶名之後的數字,比如本例中Administrator之後的500、Guest之後的501,這些對你來說也是很重要的信息,它們的名稱叫Relative Identifier [相對標識名] 簡稱RID,它是SID的一部分,WIN2000系統使用SID來標識帳戶,RID在其中標識帳戶的權限,本例中的Administrator的帳戶RID是500,事實上這也是預設的設定,不管你給系統內裝的Administrator改個多不起眼的名稱,有經驗的人會根據RID是否等於500來判斷誰是管理員。其它用戶的RID:Guest是501,一般用戶是從1000開始的,比如這裡的hackart,它的RID是1016,表明他是第15個普通用戶。

pwdump2 將獲得的帳戶密碼散列[也就是你看到的那堆類似亂碼的東西]直接輸出到螢幕上,你可以複製->另存新檔文本文件,也可以直接輸出為文本文件。剩下的事情就交給L0pht Crack 等密碼破解工具了。

pwdump2只能使用於本機,即必須執行在待測試的目標系統記憶體空間中,局限性比較大,於是也出現了可以遠端獲取帳戶散列的下一個版本pwdump3,它是由 www.ebiz-tech.com 開發的,你可以在那下載到它,下載之後將其解壓縮到L0pht Crack的目錄下:

與pwdump2 不同的是,它需要利用SMB服務,即遠端系統開放tcp連接埠139或者445

指令語法格式:pwdump3 ip [outputhash-filename] [username]
+------------------------------------------------+
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\sheepxxy\lc3\pwdump3>pwdump3 192.168.0.88 samhash.txt administrator

pwdump3 (rev 2) by Phil Staubs,ebusiness
technology, 23 Feb 2001 Copyright 2001
e-business technology, Inc.
This program is free software based on pwdump2
by Todd Sabin under the GNU General Public
License Version 2 (GNU GPL)
Please enter the password>*************************
Completed.
+------------------------------------------------+

之後使用記事本開啟samhash.txt,裡面就有你得到的帳戶散列,下面可以配合LC3等工具來破解。

結束語;本文提及的帳戶安全稽核方法與黑客入侵破解方法在技術角度來說並無不同,但是未授權的入侵、破解系統行為屬於電腦犯罪!請斟酌使用自己掌握的技術。
psac 目前離線  
送花文章: 3, 收花文章: 1629 篇, 收花: 3202 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:38 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1