Windows系统口令破解实验Word版

实验名称: Windows系统口令破解实验
实验要求：
[实验目的]
◆了解Windows 2000系统密码的加密原理。

◆了解Windows 2000系统密码的脆弱性。

◆学会使用常见的密码破解工具。

[实验环境]
◆本地计算机
◇操作系统：Windows 2000主机
◇软件：SAMInside 2.2.5。

[实验内容]
◆从SAM文件导入密码散列破解。

◆字典模式破解。

◆暴力模式破解。

◆检测本地计算机的密码脆弱性。

实验指导：
运行实验工具目录下的SAMInside.exe。

点击工具栏中按钮右侧的下拉箭头，选择"Imort PWDUMP-file..."。

在"Import PWDUMP-file"文件打开对话框中，选择实验工具目录下的文件"Pwdump_SAM.txt"，点击"打开"按钮返回主界面。

（"Pwdump_SAM.txt"是事先用pwdump工具从目标服务器上导出的sam文件，采用pwdump自定义的格式。

）
马上即可查看到自动破解出来的用户弱密码。

请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式。

在"Username"栏中仅选择如图所示的用户。

点击工具栏中按钮右侧的下拉箭头，选择"Dictionary attack"。

再次点击工具栏中按钮右侧的下拉箭头，选择"Options..."。

在弹出的"Dictionary attack settings"对话框中，点击"Add..."按钮添加一个密钥猜解字典，这里选用实验工具目录下的"single.dic"。

回到"Dictionary attack settings"对话框，在"Additionally check"组合框中选中"Reversed words"选项。

点击"OK"按钮回到主界面。

点击工具栏中按钮，进行基于字典模式的破解。

查看破解出来的用户弱密码。

请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式。

点击工具栏中按钮右侧的下拉箭头，选择"Brute-force attack "。

再次点击工具栏中按钮右侧的下拉箭头，选择"Options..."。

在弹出的"Brute-force attack options"对话框中，选择暴力破解所包括的各种字符可能性（选择的字符越多，则需要猜解的时间也越多），点击"OK"按钮回到主界面。

建议一般情况下选择大写字母、小写字母和数字。

点击工具栏中按钮，进行基于暴力模式的破解。

观察状态栏中显示的破解速度，请将该数值（包括单位）写入实验报告中。

如果在一段时间内暴力破解成功，那么请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式；同时也请将花费的时间写入实验报告中。

回到主界面。

点击工具栏中按钮，删除刚才从pwdump-sam文件中导入破解的用户。

点击工具栏中右侧的下拉箭头，选择"Import from local machine using LSASS"。

回到主界面，重复进行上述的自动模式破解、字典模式破解和暴力模式破解。

请将所有可能的结果写入实验报告中。

实验原理：
一. 系统口令加密机制
Windows NT/2K/XP等系统使用sam文件保存口令。

sam文件是Windows NT/2000的用户账户数据库，所有用户的登录名及口令等相关信息都保存在这个文件中。

系统在保存sam信息之前对sam信息进行了压缩处理，因此，sam文件中的信息不可读取。

此外，在系统运行期间，sam文件被system账号锁定，即使是administrator 账号也无法打开。

Windows NT/2K/XP系统采用了两种加密机制，所以，在sam文件中保存着两个口令字，一个是LanMan版本的（LM散列值），另一个是NT版本的（NT散列值）。

LanMan散列算法：LanMan散列算法处理用户口令的过程是：
o 将用户口令分成两半，每一半都是7个字符。

o 分别对这两个口令字加密。

o 将加密后得到的散列值串连在一起（不足7个字符的以空格补齐），得到最终的LM散列值。

NT散列算法：NT/2000的密码散列由两部分组成，一部分是通过变形DES算法，使用密码的大写OEM 格式作为密钥（分成2个KEY，每个KEY7字节，用0补足14个字节），通过DESECB方式获得一个128位的密钥，加密特殊字符串“KGS!@#$%”获得的一个16字节长度的值。

另一部分则是使用MD4对密码的UNICODE形式进行加密获得的一个散列。

二. 口令破解原理
无论口令加密采用DES算法、MD5算法，还是其他机制，因为它们具有单向不可逆的特性，要想从算法本身去破解，难度相当大，通常只存在理论上的可能性。

由于各种加密算法都是公开的，虽然逆向猜解不可行，但从正向猜解却是很现实的。

因为，设置口令的用户是人，人们在设置口令时，习惯使用一些容易记忆且带有明显特征的口令，如用户名、生日、电话号码、亲友姓名等，这就给我们破解口令带来机会。

我们可以制作一个字典文件：里面的条目都是经常用作口令的字串。

猜解口令时，就从字典文件中读出一个条目作为口令，使用与系统口令加密算法相同的方法进行加密，得到的字串与口令文件中的条目进行比较，如果相同，则猜解成功；否则，继续下一次尝试。

最终结果可能得到了真正的用户口令，也可能字典文件条目用尽而不能破解。

口令破解的方法主要是字典法，利用字典文件进行口令猜解。

常见的口令猜解模式主要是：字典模式：即使用指定的字典文件进行口令猜解。

混合模式：即指定字典规则，对字典条目进行某种形式的变化，增加字典内容，提高猜解的效率。

暴力模式：即遍历所有可能的密钥空间，进行口令猜解。

三. 口令破解方法
不同系统使用的口令保护方式不同，对应的口令破解方法、破解工具亦不同。

Windows 9X系统：Windows 9X系统没有设置严格的访问控制，因此，可以通过重新启动系统等方法进入系统，然后将C:\Windows目录下所有的pwl文件（*.pwl）拷贝到磁盘上，最后，使用专用工具pwltool，即可破解出系统的口令。

pwltool支持暴力、字典、智能3种模式的口令破解。

具体使用方法，见【实验步骤】。

Windows 2K系统：Windows 2K使用sam文件保存用户账号信息，系统运行期间，sam文件是被system 账号锁定的，而且，sam文件信息在保存前经过压缩处理，不具有可读性。

要破解Windows 2K系统的账号，就必须先获取sam文件，然后，使用工具L0phtcrack进行口令猜解工作。

获取sam文件的方法有：
获取%SystemRoot%\system32\config\sam文件
这种方式适用于黑客可以直接接触目标主机，且该主机安装有多种操作系统。

重新启动主机，进入其它操作系统，如Windows 98。

如果Windows NT/2000是以FAT16/32磁盘格式安装的，则可以直接读取sam文件；如果Windows NT/2000是以NTFS磁盘格式安装的，则可以借助工具NTFS98，在Windows 9x中读写NTFS磁盘的内容，或者借助工具NTFSDOS，在DOS环境下读写NTFS磁盘内容。

获取%SystemRoot%\repair\sam._文件
这种方式适用于系统做过备份操作或者创建过紧急修复盘的情况。

当系统进行备份，或创建紧急修复盘的时候，会将SAM内容拷贝到sam._文件中。

sam._文件在系统运行期间不会被锁定，系统管理员可以任意读取它。

但是，这种方法也具有一定的局限性。

如果系统更改账号信息后没有再做备份的话，获取的sam._文件将没有任何价值。

从注册表中导出SAM散列值
这种方法需要具有超级管理员权限。

只要有超级管理员权限，利用某些工具，如pwdump，就可以将注册表中的SAM散列值转储成类似UNIX系统passwd格式的文件。

嗅探网络中SMB报文中包含的口令散列值
Windows系统提供网络服务时通常都是借助SMB来传递数据，其中包括身份认证和加密过程。

当网络中存在类似网络文件共享、Windows域登录注册等借助于SMB的网络通信时，监视网络中的SMB数据传输，并加以识别筛选，就可以获取到有价值的口令散列字符串。

四. 口令破解防范措施
要防止系统遭受口令猜测攻击，首先，就是要在黑客之前，对自己的系统进行认真审计。

利用诸如LC5、SAMInside、之类的“黑客”工具，了解本系统的弱点所在，然后有针对地改进，以便更从容地应对外来的攻击。

其次，加强用户账号及口令的安全策略。

检查口令设置的健壮性：保证口令的长度至少应在7个字符以上，且最好大小写字母、数字、符号混合使用；定期更改口令。

对共享资源设置口令：检查是否每个共享资源都设置了口令；对于Windows 9X系统，若“访问类型”设置为“根据密码访问”，必须同时分别设置“只读密码”和“完全访问密码”。

隐藏共享资源：在共享资源名字后面加上一个"$"符号。

这样，网络上其他计算机无法通过浏览网络邻居或NET VIEW命令获得共享资源的名字，从而增强了保密性。

禁止在本机保存口令：禁止在口令输入对话框中选择“保存密码”选项。

Windows 9X系统完全禁止口令高速缓存：
实施方法为：
将注册表中“HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\
CurrentVersion\Policies\Network\ DisablePwdCaching”键对应的DWORD值设为1，并删除
Windows目录下所有扩展名为PWL的文件。

Windows NT/2K系统，设置登录审计，限定用户登录的次数，以防非授权人员无限制地采用穷举方法破解口令：
打开“控制面板”，选择“管理工具”中的“本地安全策略”。

选中“安全设置”->“本地策
略”->“审核策略”，双击“审核登录事件”，设置审核登录成功与失败。

o 审计系统事件日志，检测可疑的用户登录信息，防止黑客通过网络猜解口令。

o 禁止不必要的用户账号。

o 修改超级管理员账户名。

o 启用SYSKEY机制，加强口令散列值的保密性。

o 避免使用LM散列值作为网络访问的认证机制。

实验结果：
1.点击“编辑报告”按钮新建Word文档，然后在其中输入实验结果。

2.保存Word文档至本地磁盘。

3.“结束实验”时选择该Word文档提交报告
（注：可编辑下载，若有不当之处，请指正，谢谢!）。