給你一個SAM文件,如何提取出登錄密碼?
SAM文件
① LMHASH
Administrator:500:0182bd0bd4444bf867cd839bf040d93b:c22b315c040ae6e0efee3518d830362b:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:132893a93031a4d2c70b0ba3fd87654a:fe572c566816ef495f84fdca382fd8bb:::
windows 2000,2003,xp中,是LMHASH和NTHASH一起使用。原因是一開始用的LMHASH太容易被破解,但是換成NTHASH(密碼強度比較高)會有兼容性的問題,所以都留下了。對這種的攻擊主要是對LMHASH的攻擊。
②NTHASH
Administrator:500:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
admin:1001:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
HomeGroupUser$:1002:NO PASSWORD*********************:3E4ABEB51FBFDBB211C6CC39EC2DFADB:::
root:1003:NO PASSWORD*********************:329153F560EB329C0E1DEEA55E88A1E9:::
沒有LMHASH,是在win7下測試的,win10不知道為什么會有
vista后只用NTHASH,使得破解難度增大。
提取SAM中的密碼哈希值(這里以win7為例子)
SAM是加密后的且沒有辦法直接打開的。這里借助工具pwddump7,先提取出密碼的哈希值。 然后用工具ophcrack或者在線網站cmd5或者https://www.objectif-securite.ch/en/ophcrack.php解密
必須得管理員身份運行cmd才可以。
進入pwddump.exe得目錄,然后pwddump7.exe,可以直接看到本地電腦中的賬戶密碼
找到哈希值。NTHASH:329153F560EB329C0E1DEEA55E88A1E9(LMHASH不存在,只在低版本有)
上破解工具,還要自己下字典,百度即可。
注意輸入格式,因為沒有LMHASH,所以
:NTHASH
破解成功(密碼是我設置的root)
只給一個SAM能否破解?
是不能的,因為在做數字取證題目提取哈希內容的時候,必須知道SAM和SYSTEM的位置,另外看pwdump的使用說明
usage:
pwdump7.exe -s <samfile> <systemfile> (Dump passwords from files)
必須得知道sam和system。
也就是說,你如果做題目的話,只給一個SAM是不可以的,和系統有關系。
這里我把我win7系統下的SAM保存為1,SYSTEM保存為2,然后拷貝到了win10上邊,放到了c盤(SAM和SYSTEM文件必須用絕對路徑)。
提取SAM文件的命令:(可以自己嘗試一下)
pwdump.exe -d c:\windows\system32\config\SAM c:\1 system文件同理
就假如現在題目:
給定了SAM和SYSTEM文件,求出root用戶的密碼。
PwDump7.exe -s c:\1 c:\2
如此便求出了root用戶的哈希值,然后繼續用ophcrack跑就好了。
補充:
上邊說的只是NTHASH的時候,win2000,2003,xp的時候也可以通過LMHASH破解並且更容易。
Administrator:500:0182bd0bd4444bf867cd839bf040d93b:c22b315c040ae6e0efee3518d830362b:::
拿上邊這一條來說,ophcrack的使用方法也有很多。
可以直接輸入LMHASH,也可以LMHASH:NTHASH