第九章-密码破解攻击

第9章密码破解攻击9.1windows系统的密码猜解9.2Unix系统的密码猜解9.3应用软件的密码破解9.4小结什么是密码破解密码破解，又称口令攻击，指的是未经授权登陆一个系统，采用各种可能的方式计算或解出用户口令的过程密码破解分类从破解的途径分类：（1）远程密码破解。特点是速度非常慢，同时和目标服务器的安全设置有关。（2）本地密码破解。特点是速度非常快。从破解的对象分类：（1）系统密码破解。常见的操作系统如Windows、Unix/Linux。（2）应用软件密码破解。如Office办公软件，RAR/zip压缩软件，即时通讯软件、邮件客户端软件。从破解的技术分类：（1）字典破解。用指定的字典文件进行密码破解。（2）混合破解。用指定字典的规则，对字典条目进行某种形式的变化，充实字典的内容，提高破解效率。（3）暴力破解。遍历所有可能的密码组合进行破解。Windows系统的用户账户的密码机制1．Windows9X系统。Windows9X系统将用户密码默认保存在扩展名为pwl的缓存文件中。该文件包含了共享资源访问密码、拨号网络密码、用户登陆密码等信息，是一个用于访问网络资源的高速缓存的密码清单。一般位于系统目录(通常为C:\Windows)下。不同的用户使用不同的pwl文件，通过用户名来命名文件名。2．WindowsNT/2K/XP/Server2003系统WindowsNT/2000系统中使用了安全账号管理器(Securityaccountmanager)机制对用户帐户进行安全管理，相关信息存放在%SystemRoot%\system32\config\sam文件。Sam文件的保护机制系统在保存sam信息之前对sam文件进行了压缩，故而sam文件中的信息是不可读取的。在系统运行期间，sam文件被system账号锁定，即使是administrator账号也不能打开sam文件Sam文件为每一个账户保存着两个加密项，分别由LanMan散列算法(LM散列值)和NT散列算法(NT散列值)得出。LM散列算法NT散列算法

Windows密码猜解的技术原理

——Windows9X系统的破解Windows9X系统没有设置严格的访问控制，可以直接将C:\Windows目录下所有的pwl文件(*.pwl)拷贝出来，用专用的破解工具pwltool，即可获得系统密码。Pwl支持暴力破解、字典、智能3种模式的破解方式。Windows密码猜解的技术原理

——WindowsNT/2K系统的破解（1）获取%SystemRoot%\system32\config\sam文件（2）获取%SystemRoot%\repair\sam._文件（3）从注册表中导出SAM散列值（4）嗅探网络中SMB报文中包含的口令散列值Windows密码猜解的技术原理

——WindowsNT/2K系统的破解L0phtcrackWindows密码猜解的技术原理

——WindowsNT/2K系统的破解NTSweepNTSweep使用方法与其他密码破解程序不同，它利用Microsoft允许用户改变密码机制，而不是破解sam文件。首先，NTSweep选取一个单词，使用这个单词作为账号原始密码，并试图把用户的密码改为同一个单词。如果主域控制机器返回失败消息，就可知道这不是原来的密码。反之，就说明这一定是账号的的密码，因为成功地把密码改为原来的值，用户永远不知道密码曾经被人修改过。NTCrackNTCrack是UNIX破解程序的一部分，但是同样可以用在NT环境下。它不提取密码的散列值，而是和NTSweep工作原理类似，用户必须给NTCrack一个userid和要测试的命令组合，然后返回是否成功的消息。UNIX用户账户的密码机制Unix系统使用passwd文件保存用户信息，包括经过DES加密的用户密码。如果采用shadow机制，则会将密码保存在shadow文件中，在passwd文件中只显示”x”。passwd文件对于所有用户均是可读的，只对root用户可写。passwd文件格式域内容root用户名称X用户密码(若使用了shadow机制，则为X)0用户的ID号(UID)，Uid<100的为系统用户0用户所属组的ID号(GID)root用户的全名/root用户的主目录/bin/bash用户登陆Shellshadow文件格式域内容root用户名称$1$o5HVsRp0$79n2arbVHhGiLe8TEQidn0用户加密密码11699密码最后修改日期(从起计算)0密码最短存留期99999密码最长存留期7密码修改警告期NULL密码保留期NULL密码实效期NULL保留字段UNIX密码猜解的技术原理

——CrackCrack是一个旨在快速定位UNIX密码弱点的破解程序。它使用标准的猜测技术确定密码。它检查密码是否为如下情况之一：（1）和userid相同（2）单词password（3）数字串（4）字母串Crack通过加密一长串可能的密码，并把结果和用户的加密密码相比较，看其是否匹配。用户的加密密码必须是在运行破解程序之前就已经提供。UNIX密码猜解的技术原理

——JohntheRipperUNIX密码破解程序，同时它也能在Windows平台上运行。它具有如下特点：（1）本地破解密码，高效并且强大。（2）可以破解标准和双倍长度的DES、MD5和Blowfish算法。甚至可以猜解WindowsNT的LanMan散列。（3）使用内部高度优化的模块以取代crypt(3)。（4）可以挂起和重新启动破解任务。（5）可以移植到多个平台(如Windows).（6）用户可以制定自己的单词表和规则。（7）用户可以获得已中断或正在执行的任务的状态。（8）用户可以制定所需破解的用户或组。（9）它提供多种密码猜解模式，并且对猜解过程进行优化，提高效率。运行模式（1）简单模式。针对某些人将名字相同或者相近的字符串作为密码的情况，JohntheRipper只是使用用户名或者再加入一些数字进行简单组合来猜解。（2）字典模式。（3）增强模式。JohntheRipper会遍历所有可能的密钥空间。缺点是耗时长。（4）外挂模式。JohntheRipper支持用户自定义的猜解模式，借助外挂配置文件来实现。UNIX密码猜解的技术原理

——XIT和SlurpieXITXIT是一个执行词典攻击的UNIX密码破解程序。功能有限，只能运行词典进行攻击。SlurpieSlurpie能执行词典攻击和定制的强行攻击，需要使用者规定所要使用的字符数目和字符类型。如，可以能够发起一次攻击使用7或者8个字符，并且仅使用小写字母进行强行攻击。Slurpie最大的优点是它能分布式运行，即把几台计算机组成一台分布式虚拟机在很短的时间里完成破解任务。应用服务软件的密码破解采用暴力破解hydra是一款*nix平台下的远程登陆密码破解工具。它支持TELNET,FTP,HTTP,HTTPS,HTTP-PROXY,LDAP,SMB,SMBNT,MS-SQL,MYSQL,REXEC,SOCKS5,VNC,POP3,IMAP,NNTP,PCNFS,ICQ,SAP/R3,Ciscoauth,Ciscoenable,SMTP-AUTH,SSH2,SNMP,CVS,CiscoAAA等众多登陆方式的密码破解SMB认证登陆的过程协议解析栈CLIENT：APP→NET/MRP/RPCAPI→MRXSMB.SYS→NETBT.SYS→TCP/IPSERVER：

SRV.SYS←MRXSMB.SYS←NETBT.SYS←TCP/IPSMB的认证协议。通过SMB进行认证客户端一般都要先使用SMB的协商命令（0X72）发送客户端支持的认证协议给服务器，服务器则选择其中的一个，然后返回给客户端，客户端然后再使用SMB的会话设置和X命令（0X73）进行认证和登陆。NTLM认证过程NTLM在发展的过程中也存在这兼容的一些问题，现在的NTLM是支持挑战方式的，但原始的W9X的NTLM则不支持挑战会话方式的，所以从协议过程来看存在2种方式，一种是支持挑战加密的方式（NT，2K等），一种是不支持加密挑战的方式（W9X）。ZIP的密码破解UZPCVZPRPAZPRRAR的密码破解AdvancedRARPasswordRecoveryRARPasswordCrackerPDF的密码破解AdvancedPDFP