实例演示:· 假设明文口令是“admin”,首先全部转换成大写“ADMIN”,· 密码字符串大写后变换成十六进制串:41444D494E· 转换后的十六进制字符串按照二进制计算只有40bit,为了满足14字节的要求,所以需要补全72bit的二进制0,得最终补全后十六进制为:41444D494E000000000000000000· 将上述编码(41444D494E000000000000000000)分成2组7byte的数据,分别为:41444D494E000000000000000000· 将每一组7byte的十六进制转换为二进制,每7bit一组末尾加0,在转换成十六进制组成得到2组8byte的编码:41444D494E0000—>40A212A89470000000000000000000—>0000000000000000· 利用上面计算出来的2组编码,作为DES加密key分别对“KGS!@#$%”(换算成十六进制:4B47532140232425)字符,进行DES加密,如下:40A212A894700000—-DES加密—-F0D412BD764FFE810000000000000000—-DES加密—-AAD3B435B51404EE
· 将二组值拼接,最终得到LM HASH值为:F0D412BD764FFE81 AAD3B435B51404EE验证如下图:
2.2 Windows下NTLM Hash生成原理IBM设计的LM Hash算法存在几个弱点,微软在保持向后兼容性的同时提出了自己的挑战响应机制,NTLM Hash便应运而生。假设明文口令是"123456",首先转换成Unicode字符串,与LM Hash算法不同,这次不需要添加0补足14字节"123456"->310032003300340035003600。从ASCII串转换成Unicode串时,使用little-endian序,微软在设计整个SMB协议时就没考虑过big-endian 序,ntoh*()、hton*()函数不宜用在SMB报文解码中。0×80之前的标准ASCII码转换成Unicode码,就是简单地从0x??变成 0×00??。此类标准ASCII串按little-endian序转换成Unicode串,就是简单地在原有每个字节之后添加0×00。对所获取的 Unicode串进行标准MD4单向哈希,无论数据源有多少字节,MD4固定产生128-bit的哈希值,16字节 310032003300340035003600-进行标准MD4单向哈希->32ED87BDB5FDC5E9 CBA88547376818D4,就得到了最后的NTLM HashNTLM Hash:32ED87BDB5FDC5E9CBA88547376818D4。与LM Hash算法相比,明文口令大小写敏感,无法根据NTLM Hash判断原始明文口令是否小于8字节,摆脱了魔术字符串"KGS!@#$%"。MD4是真正的单向哈希函数,穷举作为数据源出现的明文,难度较大。验证如下:
开始破解3.1 抓取windows hash在windows中分别用了LM HASH和NTLM HASH对密码进行了加密,所以抓取任意一个HASH都可以破解密码,只不过如果二个HASH都可以抓到,密码的破译成功率会大大提升。经常使用抓windows hash的工具很多,像SAMInside,gethash等等。个人比较倾向于使用SAMinside工具,该工具不仅可以在线抓取windows hash 还可以导入存储windows hash的 sam等文件获取hash值。文件位置:C:windowssystem32configSAM在windows xp,server2003之前包括xp&2003的系统都可以通过工具抓取到完整的LM HASH&NT HASH的。这样就可以直接通过在线的破译网站进行密码破解。但是之后的系统可以改变一些设置让操作系统存储LM HASH值到SAM文件中。方便我们的抓取。3.1.1 xp下hash抓取及破解(略) 3.1.2 win 7下hash抓取及破解步骤一:导入本地的用户hash值
看不清图片,用户名为nic的NT HASH为:209C6174DA490CAEB422F3FA5A7AE634可以看到只能抓取到NT HASH值,我们也可以通过NT HASH去破解windows密码的,因为LM HASH和NT HASH只是二种不同的加密方式,针对同一个密码。
- 看不过瘾?点击下面链接!
- windows系统怎么禁用注册表防止被远程控制
- 8秒恢复操作系统!“救命稻草”Pro Magic
- Windows故障恢复控制台
- 金山毒霸免费WiFi设置方法
- 小红伞个人免费版杀毒怎么样
- 如何保护密码安全才不会让人破解