现在登录目标3389 后,我看好多人都已经习惯抓密码hash 然后回来彩虹表破解出明文了,或者传个winloginhack 来记录3389 的登录密码。在我最近的几次渗透中,发现pwdump,fgdump 这类工具现在已经不免杀了,而且这类工具都是要注入到lsass.exe 进程的,遇到macfee 这类的杀毒软件,默认是绕不过去的。Winlogin 网上放出来的,经过我的测试,对WIN2008 是没有效果的。今天浏览BLOG,看到老外提到另一种抓系统密码hash 的技巧,经过实践,发现可行,分享给大家。
首先使用administrator 权限登录,然后使用reg 来保存注册表中HKLM 下的SECURITY,SAM,SYSTEM,注意这里必须使用reg 的save 选项,export 选项是不行的,
reg save hklmsam sam.hive
reg save hklmsystem system.hive
reg save hklmsecurity security.hive
如图1
[img]http://www.hacker90.com/attachment/Mon_1105/21_18_d41438663777850.jpg?12[/img]
然后把sam.hive,system.hive,security.hive 下载回本地,打开CAIN,在"Decoders"标签下,点"LSA Secrets", 点"+" 来导入system.hive 和security.hive.
如图2
[img]http://www.hacker90.com/attachment/Mon_1105/21_18_5fb13ae1e07cf3b.jpg?37[/img]
这里一般就能看到管理员的明文密码了, 如图3
[img]http://www.hacker90.com/attachment/Mon_1105/21_18_b228f0d82935eb2.jpg?53[/img]
当然这里的密码,有时候也是历史密码。如果尝试登录不对,可以来尝试爆破lm/ntlm hash.
要破解LM/NTLM hash,首先点”cracker”标签下的”LM&NTLM hashes”,然后点”+”,导入sam.hive,注意由于现在的win2000 以后都默认使用了syskey,所以还要导入system.hive 中的syskey 的值,然后就可以彩虹表破解了。
如图4
[img]http://www.hacker90.com/attachment/Mon_1105/21_18_6454e5ddfbbe320.jpg?53[/img]
如图5
[img]http://www.hacker90.com/attachment/Mon_1105/21_18_a2078a7e81c3b8b.jpg?50[/img]
后话:
这个方法不是对所有WINDOWS 发行版本都通用的,比如对win 2000 sp4,win xp sp2 就不行,对
win2003,2008 是管用的。具体工作列表如下:
Windows 2000 SP4 (admin) = access denied
Windows XP SP2 (admin) = access denied
Windows XP SP3 (admin) = access denied
Windows 2003 R2 SP2 (admin) = works
Windows Vista SP2 (UAC/admin) = works
Windows 2008 SP1 (admin) = works
Windows 7 (UAC/admin) = works
我在windows7 64位上测试说“错误: 客户端没有所需的特权。”
