Windows系统口令破解实验

更新时间：2023-11-28 22:45:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

windows系列推荐度：
相关推荐

实验名称: Windows系统口令破解实验

实验要求：

[实验目的]

◆ 了解Windows 2000系统密码的加密原理。 ◆ 了解Windows 2000系统密码的脆弱性。 ◆ 学会使用常见的密码破解工具。

[实验环境]

◆ 本地计算机

◇ 操作系统：Windows 2000主机 ◇ 软件：SAMInside 2.2.5。

[实验内容]

◆ 从SAM文件导入密码散列破解。 ◆ 字典模式破解。 ◆ 暴力模式破解。

◆ 检测本地计算机的密码脆弱性。

实验指导：

运行实验工具目录下的SAMInside.exe。

??点击工具栏中按钮右侧的下拉箭头，选择\。

??在\文件打开对话框中，选择实验工具目录下的文件\，点击\打开\按钮返回主界面。

（\是事先用pwdump工具从目标服务器上导出的sam文件，采用pwdump自定义的格式。）

??马上即可查看到自动破解出来的用户弱密码。请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式。

??在\栏中仅选择如图所示的用户。

??点击工具栏中按钮右侧的下拉箭头，选择\。

????

再次点击工具栏中按钮右侧的下拉箭头，选择\。

在弹出的\对话框中，点击\按钮添加一个密钥猜解字典，这里选用实验工具目录下的\。

??回到\对话框，在\组合框中选中\words\选项。点击\按钮回到主界面。

????

点击工具栏中按钮，进行基于字典模式的破解。

查看破解出来的用户弱密码。请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式。

??点击工具栏中按钮右侧的下拉箭头，选择\。

????

再次点击工具栏中按钮右侧的下拉箭头，选择\。

在弹出的\对话框中，选择暴力破解所包括的各种字符可能性（选择的字符越多，则需要猜解的时间也越多），点击\按钮回到主界面。

建议一般情况下选择大写字母、小写字母和数字。

??????

点击工具栏中按钮，进行基于暴力模式的破解。

观察状态栏中显示的破解速度，请将该数值（包括单位）写入实验报告中。

如果在一段时间内暴力破解成功，那么请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式；同时也请将花费的时间写入实验报告中。

??回到主界面。点击工具栏中按钮，删除刚才从pwdump-sam文件中导入破解的用户。

??点击工具栏中右侧的下拉箭头，选择\。

??回到主界面，重复进行上述的自动模式破解、字典模式破解和暴力模式破解。请将所有可能的结果写入实验报告中。

实验原理：

一. 系统口令加密机制

Windows NT/2K/XP等系统使用sam文件保存口令。sam文件是Windows NT/2000的用户账户数据库，所有用户的登录名及口令等相关信息都保存在这个文件中。系统在保存sam信息之前对sam信息进行了压缩处理，因此，sam文件中的信息不可读取。此外，在系统运行期间，sam文件被system账号锁定，即使是administrator账号也无法打开。

Windows NT/2K/XP系统采用了两种加密机制，所以，在sam文件中保存着两个口令字，一个是LanMan版本的（LM散列值），另一个是NT版本的（NT散列值）。

??LanMan散列算法：LanMan散列算法处理用户口令的过程是：

o 将用户口令分成两半，每一半都是7个字符。 o 分别对这两个口令字加密。

o 将加密后得到的散列值串连在一起（不足7个字符的以空格补齐），得到最终的LM散列

值。

??NT散列算法：NT/2000的密码散列由两部分组成，一部分是通过变形DES算法，使用密码的大写OEM格式作为密钥（分成2个KEY，每个KEY7字节，用0补足14个字节），通过DESECB方式获得一个128位的密钥，加密特殊字符串“KGS!@#$%”获得的一个16字节长度的值。另一部分则是使用MD4对密码的UNICODE形式进行加密获得的一个散列。

二. 口令破解原理

无论口令加密采用DES算法、MD5算法，还是其他机制，因为它们具有单向不可逆的特性，要想从算法本身去破解，难度相当大，通常只存在理论上的可能性。由于各种加密算法都是公开的，虽然逆向猜解不可行，但从正向猜解却是很现实的。因为，设置口令的用户是人，人们在设置口令时，习惯使用一些容易记忆且带有明显特征的口令，如用户名、生日、电话号码、亲友姓名等，这就给我们破解口令带来机会。我们可以制作一个字典文件：里面的条目都是经常用作口令的字串。猜解口令时，就从字典文件中读出一个条目作为口令，使用与系统口令加密算法相同的方法进行加密，得到的字串与口令文件中的条目进行比较，如果相同，则猜解成功；否则，继续下一次尝试。最终结果可能得到了真正的用户口令，也可能字典文件条目用尽而不能破解。

口令破解的方法主要是字典法，利用字典文件进行口令猜解。常见的口令猜解模式主要是：

??????

字典模式：即使用指定的字典文件进行口令猜解。

混合模式：即指定字典规则，对字典条目进行某种形式的变化，增加字典内容，提高猜解的效率。暴力模式：即遍历所有可能的密钥空间，进行口令猜解。

三. 口令破解方法

不同系统使用的口令保护方式不同，对应的口令破解方法、破解工具亦不同。

??Windows 9X系统：Windows 9X系统没有设置严格的访问控制，因此，可以通过重新启动系统等方法进入系统，然后将C:\\Windows目录下所有的pwl文件（*.pwl）拷贝到磁盘上，最后，使用专用工具pwltool，即可破解出系统的口令。pwltool支持暴力、字典、智能3种模式的口令破解。具体使用方法，见【实验步骤】。

??Windows 2K系统：Windows 2K使用sam文件保存用户账号信息，系统运行期间，sam文件是被system账号锁定的，而且，sam文件信息在保存前经过压缩处理，不具有可读性。要破解Windows 2K系统的账号，就必须先获取sam文件，然后，使用工具L0phtcrack进行口令猜解工作。

获取sam文件的方法有：

??获取%SystemRoot%\\system32\\config\\sam文件

这种方式适用于黑客可以直接接触目标主机，且该主机安装有多种操作系统。

重新启动主机，进入其它操作系统，如Windows 98。如果Windows NT/2000是以FAT16/32磁盘格式安装的，则可以直接读取sam文件；如果Windows NT/2000是以NTFS磁盘格式安装的，则可以借助工具NTFS98，在Windows 9x中读写NTFS磁盘的内容，或者借助工具NTFSDOS，在DOS环境下读写NTFS磁盘内容。

??获取%SystemRoot%\\repair\\sam._文件

这种方式适用于系统做过备份操作或者创建过紧急修复盘的情况。

当系统进行备份，或创建紧急修复盘的时候，会将SAM内容拷贝到sam._文件中。sam._文件在系统运行期间不会被锁定，系统管理员可以任意读取它。但是，这种方法也具有一定的局限性。如果系统更改账号信息后没有再做备份的话，获取的sam._文件将没有任何价值。

??从注册表中导出SAM散列值

这种方法需要具有超级管理员权限。只要有超级管理员权限，利用某些工具，如pwdump，就可以将注册表中的SAM散列值转储成类似UNIX系统passwd格式的文件。

??嗅探网络中SMB报文中包含的口令散列值

Windows系统提供网络服务时通常都是借助SMB来传递数据，其中包括身份认证和加密过程。当网络中存在类似网络文件共享、Windows域登录注册等借助于SMB的网络通信时，监视网络中的SMB数据传输，并加以识别筛选，就可以获取到有价值的口令散列字符串。

四. 口令破解防范措施

要防止系统遭受口令猜测攻击，首先，就是要在黑客之前，对自己的系统进行认真审计。利用诸如LC5、SAMInside、之类的“黑客”工具，了解本系统的弱点所在，然后有针对地改进，以便更从容地应对外来的攻击。其次，加强用户账号及口令的安全策略。

??检查口令设置的健壮性：保证口令的长度至少应在7个字符以上，且最好大小写字母、数字、符号混合使用；定期更改口令。

??对共享资源设置口令：检查是否每个共享资源都设置了口令；对于Windows 9X系统，若“访问类型”设置为“根据密码访问”，必须同时分别设置“只读密码”和“完全访问密码”。

??隐藏共享资源：在共享资源名字后面加上一个\符号。这样，网络上其他计算机无法通过浏览网络邻居或NET VIEW命令获得共享资源的名字，从而增强了保密性。