03—口令破解—03windows口令破解GetHashes.docVIP

?课程编写 类别 内容 实验课题名称 口令破解-03windows口令破解GetHashes 实验目的与要求 1、了解windows口令破解的原理 2、熟练使用windows口令破解工具 实验环境 VPC1(虚拟PC） 操作系统类型：windows 2003；网络接口：本地连接 VPC1?连接要求 PC?网络接口，本地连接与实验网络直连 软件描述 1、学生机要求安装java环境2、vpc安装windows 2003 实验环境描述 1、?学生机与实验室网络直连; 2、?VPC1与实验室网络直连; 3、?学生机与VPC1物理链路连通； 预备知识 （1）Windows系统下的Hash密码格式 Windows系统下的Hash密码格式为：用户名称:RID:LM-Hash值:NT-Hash值，例如： Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::表示 用户名称为：Administrator RID为：500 LM-Hash值为：C8825DB10F2590EAAAD3B435B51404EE NT-Hash值为：683020925C5D8569C23AA724774CE6CC ? （2）Windows下LM-Hash值生成原理 假设明文口令是Welcome，首先全部转换成大写WELCOME，再将口令字符串大写转后的字符串变换成二进制串： WELCOME - 57454C434F4D4500000000000000 技巧：可以将明文口令复制到UltraEdit编辑器中，使用二进制方式查看，即可获取口令的二进制串。 如果明文口令经过大写变换后的二进制字符串不足14字节，则需要在其后添加0x00补足14字节。然后切割成两组7字节的数据，分别经str_to_key（）函数处理得到两组8字节数??据： 57454C434F4D45 -str_to_key()- 56348A? 00000000000000 -str_to_key()- 0000000000000000 这两组8字节数据将作为DESKEY对魔术字符串KGS!@#$%进行标准DES加密 KGS!@#$% - 4B47532140232425。? 56348A -对4B47532140232425进行标准DES加密- C23413A8A1E7665F? 0000000000000000 -对4B47532140232425进行标准DES加密- AAD3B435B51404EE 将加密后的这两组数据简单拼接，就得到了最后的LM Hash。 LM Hash: C23413A8A1E7665FAAD3B435B51404EE Windows下NTLM Hash生成原理 IBM设计的LM Hash算法存在几个弱点，微软在保持向后兼容性的同时提出了自己的挑战响应机制，NTLM Hash便应运而生。假设明文口令是123456，首先转换成Unicode字符串，与LM Hash算法不同，这次不需要添加0x00补足14字节 123456 - 310032003300340035003600。 从ASCII串转换成Unicode串时，使用little-endian序，微软在设计整个SMB协议时就没考虑过big-endian序，ntoh*()、hton*()函数不宜用在SMB报文解码中。0x80之前的标准ASCII码转换成Unicode码，就是简单地从0x??变成0x00??。此类标准ASCII串按little-endian序转换成Unicode串，就是简单地在原有每个字节之后添加0x00。对所获取的Unicode串进行标准MD4单向哈希，无论数据源有多少字节，MD4固定产生128-bit的哈希值，16字节310032003300340035003600-进行标准MD4单向哈希-32ED87BDB5FDC5E9 CBA88547376818D4，就得到了最后的NTLM Hash NTLM Hash: 32ED87BDB5FDC5E9CBA88547376818D4。 与LM Hash算法相比，明文口令大小写敏感，无法根据NTLM Hash判断原始明文口令是否小于8字节，摆脱了魔术字符串KGS!@#$%。MD4是真正的单向哈希函数，穷举作为数据源出现的明文，难度较大。 使用GetHashes获取Windows系统的Hash密码值 GetHashes目前最高版本是v1.4，它是InsidePro公司早期的一款Hash密码获取软件，其公司地址为：http://www.InsideP，该公司还有SAMInside、Password