一些Windows服务器系统登录安全与NTFS技巧
|
windows中对用户帐户的安全管理使用了安全账号管理器(Security Account Manager)的机制,安全账号管理器对账号的管理是通过安全标识进行的,安全标识在账号创建时就同时创建,一旦账号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都是完全不同的。 安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。sam文件是Windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。 如果我们用编辑器打开这些sam文件,除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理,一般的编辑器是无法直接读取这些信息的。 SAM文件的位置: 第一个:C:WINDOWSrepairSAM 第二个:C:WINDOWSsystem32configSAM 第一个位置的SAM是账户数据库的备份文件,第二个是系统正在使用的账户数据库文件。 SAM是构成windows注册表里的五大分支之一,具体内容保存在%SystemRoot%system32configsam里;在windows域控制器上,账户和口令字谜文保存在活动目录(Active Directory,AD)里,对应文件是:%SystemRoot%ntdsntds.dit这里面包含不止是Username和HASH,还有OU、Group等等。破解方式: (1)Sam文件存储在C:WINDOWSsystem32config文件夹内,指直接复制粘贴不可行。 (2)使用hWinHax,将目录下的SAM文件和system文件导出。或使用samcopyer直接复制导出SAM文件。 (3)使用ophcrack进行彩虹表破解:运行ophcrack点击load->encrypted sam->再选择刚才准备好的sam文件,加载彩虹表后点击crack,即可。 --LSA(本地安全认证)注入: 本地安全认证(Local Security Authority)作用:调用所有的认证包,检查注册表;重新找回本地组的SIDs和用户权限;创建用户的访问令牌;管理本地安装的服务所使用的服务账号;储存和映射用户权限;管理审核的策略和设置;管理信任关系…… 破解方式: WinPswLogger2:windows的身份验证一般最终都是lsass进程,默认模块是msv1_0.dll,而关键在其导出函数LsaApLogonUserEx2。本程序通过注入代码到lsass进程hook LsaApLogonUserEx2,截取密码。在cmd中加载相应dll文件即可。 --Netlogon Service(NTLM认证): 早期SMB协议在网络上传输明文口令。后来出现了LAN Manager Challenge/Response 验证机制,简称LM,它是如此简单以至于很容易被破解。微软提出了WindowsNT挑战/响应验证机制,称之为NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系(保存的加密后的散列称为hash,一般翻译作"散列",也有直接译为“哈希”的,就是把任意长度的输入,通过散列算法,变换成固定长度的输出,输出的就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出。所以不可能从散列值来唯一地确定输入值。)NTLM是windows早期的安全协议,因向后兼容性而保留下来。NTLM是NT LAN Manager的缩写,即NT LAN管理器。 NTLM的适用场景: 在网络环境中,NTLM用作身份验证协议以处理两台计算机(其中至少有一台计算机运行windows NT 4.0或更早版本)之间的事务。例如,以下列举了两种配置将使用NTLM作为身份验证机制: Windows或Windows xp professional 客户端向 Windows NT 4.0 的域控制器验证身份。 Windows NT 4.0 WorkStation 客户端向Windows 或Windows Server 2003 域控制器验证身份。 NTLM原理解析: 解析之前先看NTLM传输的例子TELNET (编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
