題目：Windows系統密碼破解全攻略
作者：hackest [H.S.T.]
來源：hackest's blog

此文章已發表在《黑客X檔案》2009年第6期雜誌上
後經作者釋出在部落格上，如轉載請務必保留此資訊！

背景

要破解一個程式的密碼，要先了解它的一些背景知識。先來簡單說一下Windows系統密碼的加密演算法。早期SMB協議在網路上傳輸明文口令。後來出現"LAN Manager Challenge/Response"驗證機制，簡稱LM，它是如此簡單以至很容易被破解。微軟提出了WindowsNT挑戰/響應驗證機制，稱之為NTLM。現在已經有了更新的NTLMv2以及Kerberos驗證體系。Windows加密過的密碼口令，我們稱之為hash（中文：雜湊），Windows的系統密碼hash預設情況下一般由兩部分組成：第一部分是LM-hash，第二部分是NTLM-hash。以下內容摘選自安全焦點：

--------------------------------------引文開始----------------------------------------------

一、如何從明文口令生成LM-Hash？

1、假設明文口令是"Welcome"，首先全部轉換成大寫WELCOME，再做如下變換：
"WELCOME" -> 57454C434F4D4500000000000000
先把WELCOME轉換成十六進位制形式，在明文口令不足14位元組的情況下，後面新增0x00補足14位元組。有些書上介紹新增空格(0x20)補足14位元組，這是錯誤的，我不清楚是原作者寫錯了，還是譯者的問題。

2、然後切割成兩組7位元組的資料，分別經str_to_key()函式（程式碼已附光碟）處理得到兩組8位元組資料：
57454C434F4D45 -str_to_key()-> 56A25288347A348A
00000000000000 -str_to_key()-> 0000000000000000

3、這兩組8位元組資料將做為DESKEY對魔術字串"

[email protected]#$%"進行標準DES加密（程式碼已附光碟）：

"[email protected]#$%" -> 4B47532140232425

56A25288347A348A -對4B47532140232425進行標準DES加密-> C23413A8A1E7665F
0000000000000000 -對4B47532140232425進行標準DES加密-> AAD3B435B51404EE

4、將加密後的這兩組資料簡單拼接，就得到了最後的LM-Hash

Welcome的LM-Hash: C23413A8A1E7665FAAD3B435B51404EE。

顯然，由於明文口令一開始就全部轉換成大寫，導致多個明文口令對應一個LM-Hash。反過來，在窮舉破解LM-Hash時，得到的有可能不是原始口令，因為不可能確定大小寫。仔細觀察前述SMB身份驗證過程，即使這裡得到的不是原始口令(大小寫有差別)，同樣可以通過SMB身份驗證。這種轉換成大寫的行為減小了窮舉破解難度。

另一個弱點，當明文口令小於8位元組時，LM-Hash後8位元組的計算過程總是這樣的：

00000000000000 -str_to_key()-> 0000000000000000

對4B47532140232425進行標準DES加密-> AAD3B435B51404EE

這也將減小窮舉破解難度。

IBM設計了這個LM-Hash演算法，魔術字串"

[email protected]#$%"的意義無從考證。這個演算法稱之為"雜湊"不怎麼妥當，由於是標準DES加密，完全是可逆的。當然，由於要窮舉的是DESKEY本身，與傳統所說的可逆有區別。

二、如何從明文口令生成NTLM-Hash？

IBM設計的LM-Hash演算法存在幾個弱點，微軟在保持向後相容性的同時提出了自己的挑戰響應機制，所以，NTLM-Hash應運而生。

1、假設明文口令是"123456"，首先轉換成Unicode字串，與LM-Hash演算法不同，這次不需要新增0x00補足14位元組：

"123456" -> 310032003300340035003600

從ASCII串轉換成Unicode串時，使用little-endian序，微軟在設計整個SMB協議時就沒考慮過big-endian序，ntoh*()、hton*()函式不宜用在SMB報文解碼中。0x80之前的標準ASCII碼轉換成Unicode碼，就是簡單地從0x??變成0x00??。此類標準ASCII串按little-endian序轉換成Unicode串，就是簡單地在原有每個位元組之後新增0x00。

2、對所獲取的Unicode串進行標準MD4單向雜湊（程式碼已附光碟），無論資料來源有多少位元組，MD4固定產生128-bit的雜湊值，16位元組：

310032003300340035003600 -進行標準MD4單向雜湊-> 32ED87BDB5FDC5E9CBA88547376818D4

3、就得到了最後的NTLM-Hash

123456的NTLM-Hash: 32ED87BDB5FDC5E9CBA88547376818D4。

NTLM-Hash與LM-Hash演算法相比，明文口令大小寫敏感，但無法根據NTLM-Hash判斷原始明文口令是否小於8位元組，擺脫了魔術字串"

[email protected]#$%"。

MD4是真正的單向雜湊函式，窮舉做為資料來源出現的明文，難度較大。問題在於，微軟一味強調NTLM-Hash的強度高，卻避而不談一個事實，為了保持向後相容性，NTLM-Hash預設總是與LM-Hash一起使用的。這意味著NTLM-Hash強調再高也是無助於安全的，相反潛在損害著安全性。增加NTLM-Hash後，首先利用LM-Hash的弱點窮舉出原始明文口令的大小寫不敏感版本，再利用NTLM-Hash修正出原始明文口令的大小寫敏感版本。

--------------------------------------引文結束----------------------------------------------

實戰

理論準備得差不多了，進入實戰階段。當你已經得到Windows的系統許可權後，如何才能獲得管理員的密碼hash呢？不同版本的Windows的hash獲取方法不一樣。用到的工具有pwdump7.exe、GetHashes.exe、SAMInside.exe、LC5、Cain、Proactive Password Auditor、Ophcrack。下面將會詳細介紹如何抓取各Windows版本的系統密碼hash。

都是工具的使用，想了解的看原文，略過。

vista、2008、win7下，pwdump7.exe,SAMInside.exe,Cain、PPA可以抓取Hash。

線上查詢

如果你覺得上面提到的這麼多東西都太麻煩，有沒有線上查詢hash的網站呢？答案是肯定的！國外有一個線上查詢hash的網站：http://www.objectif-securite.ch/en/products.php，和Ophcrack的官方有點關係的哦，嘿嘿……不過線上查詢只允許查tables XP free的表，有點可惜……同時特別要指出的是，線上查詢的時候需要注意hash的格式。比如使用者名稱和密碼都是hackest的hash為：
hackest:1011:7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1:::
我們只需要把7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1複製填入hash後面的框，再點選submit hash即可進行查詢，同時也支援輸入密碼返回hash值，如圖33。



Vista以後系統如果開啟BitLocker則以上方法均無效，根本無法抓取到hash，不過好在BitLocker預設是關閉的，不是特別需要的使用者一般不會開啟它。