Windows系统口令破解实验Word版

实验名称: Windows系统口令破解实验

实验要求：

[实验目的]

◆了解Windows 2000系统密码的加密原理。

◆了解Windows 2000系统密码的脆弱性。

◆学会使用常见的密码破解工具。

[实验环境]

◆本地计算机

◇操作系统：Windows 2000主机

◇软件：SAMInside 2.2.5。

[实验内容]

◆从SAM文件导入密码散列破解。

◆字典模式破解。

◆暴力模式破解。

◆检测本地计算机的密码脆弱性。

实验指导：

运行实验工具目录下的SAMInside.exe。

点击工具栏中按钮右侧的下拉箭头，选择"Imort PWDUMP-file..."。

在"Import PWDUMP-file"文件打开对话框中，选择实验工具目录下的文件"Pwdump_SAM.txt"，点击"打开"按钮返回主界面。

（"Pwdump_SAM.txt"是事先用pwdump工具从目标服务器上导出的sam文件，采用pwdump自定义的格式。）

马上即可查看到自动破解出来的用户弱密码。请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式。

在"Username"栏中仅选择如图所示的用户。

点击工具栏中按钮右侧的下拉箭头，选择"Dictionary attack"。

再次点击工具栏中按钮右侧的下拉箭头，选择"Options..."。

在弹出的"Dictionary attack settings"对话框中，点击"Add..."按钮添加一个密钥猜解字典，这里选用实验工具目录下的"single.dic"。

回到"Dictionary attack settings"对话框，在"Additionally check"组合框中选中"Reversed words"选项。点击"OK"按钮回到主界面。

点击工具栏中按钮，进行基于字典模式的破解。

查看破解出来的用户弱密码。请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式。

点击工具栏中按钮右侧的下拉箭头，选择"Brute-force attack "。

再次点击工具栏中按钮右侧的下拉箭头，选择"Options..."。

在弹出的"Brute-force attack options"对话框中，选择暴力破解所包括的各种字符可能性（选择的字符越多，则需要猜解的时间也越多），点击"OK"按钮回到主界面。

建议一般情况下选择大写字母、小写字母和数字。

点击工具栏中按钮，进行基于暴力模式的破解。

观察状态栏中显示的破解速度，请将该数值（包括单位）写入实验报告中。

如果在一段时间内暴力破解成功，那么请将这时查看到的用户名和所对应的密码写入实验报告中，统一采用username:password的格式；同时也请将花费的时间写入实验报告中。

回到主界面。点击工具栏中按钮，删除刚才从pwdump-sam文件中导入破解的用户。

点击工具栏中右侧的下拉箭头，选择"Import from local machine using LSASS"。

回到主界面，重复进行上述的自动模式破解、字典模式破解和暴力模式破解。请将所有可能的结果写入实验报告中。

实验原理：

一. 系统口令加密机制

Windows NT/2K/XP等系统使用sam文件保存口令。sam文件是Windows NT/2000的用户账户数据库，所有用户的登录名及口令等相关信息都保存在这个文件中。系统在保存sam信息之前对sam信息进行了压缩处理，因此，sam文件中的信息不可读取。此外，在系统运行期间，sam文件被system账号锁定，即使是administrator 账号也无法打开。

Windows NT/2K/XP系统采用了两种加密机制，所以，在sam文件中保存着两个口令字，一个是LanMan版本的（LM散列值），另一个是NT版本的（NT散列值）。

LanMan散列算法：LanMan散列算法处理用户口令的过程是：

o 将用户口令分成两半，每一半都是7个字符。

o 分别对这两个口令字加密。

o 将加密后得到的散列值串连在一起（不足7个字符的以空格补齐），得到最终的LM散列值。

NT散列算法：NT/2000的密码散列由两部分组成，一部分是通过变形DES算法，使用密码的大写OEM 格式作为密钥（分成2个KEY，每个KEY7字节，用0补足14个字节），通过DESECB方式获得一个128位的密钥，加密特殊字符串“KGS!@#$%”获得的一个16字节长度的值。另一部分则是使用MD4对密码的UNICODE形式进行加密获得的一个散列。

二. 口令破解原理

无论口令加密采用DES算法、MD5算法，还是其他机制，因为它们具有单向不可逆的特性，要想从算法本身去破解，难度相当大，通常只存在理论上的可能性。由于各种加密算法都是公开的，虽然逆向猜解不可行，但从正向猜解却是很现实的。因为，设置口令的用户是人，人们在设置口令时，习惯使用一些容易记忆且带有明显特征的口令，如用户名、生日、电话号码、亲友姓名等，这就给我们破解口令带来机会。

我们可以制作一个字典文件：里面的条目都是经常用作口令的字串。猜解口令时，就从字典文件中读出一个条目作为口令，使用与系统口令加密算法相同的方法进行加密，得到的字串与口令文件中的条目进行比较，如果相同，则猜解成功；否则，继续下一次尝试。最终结果可能得到了真正的用户口令，也可能字典文件条目用尽而不能破解。

口令破解的方法主要是字典法，利用字典文件进行口令猜解。常见的口令猜解模式主要是：字典模式：即使用指定的字典文件进行口令猜解。

混合模式：即指定字典规则，对字典条目进行某种形式的变化，增加字典内容，提高猜解的效率。

暴力模式：即遍历所有可能的密钥空间，进行口令猜解。

三. 口令破解方法

不同系统使用的口令保护方式不同，对应的口令破解方法、破解工具亦不同。

Windows 9X系统：Windows 9X系统没有设置严格的访问控制，因此，可以通过重新启动系统等方法进入系统，然后将C:\Windows目录下所有的pwl文件（*.pwl）拷贝到磁盘上，最后，使用专用工具pwltool，即可破解出系统的口令。pwltool支持暴力、字典、智能3种模式的口令破解。具体使用方法，见【实验步骤】。

Windows 2K系统：Windows 2K使用sam文件保存用户账号信息，系统运行期间，sam文件是被system 账号锁定的，而且，sam文件信息在保存前经过压缩处理，不具有可读性。要破解Windows 2K系统的账号，就必须先获取sam文件，然后，使用工具L0phtcrack进行口令猜解工作。

获取sam文件的方法有：

获取%SystemRoot%\system32\config\sam文件

这种方式适用于黑客可以直接接触目标主机，且该主机安装有多种操作系统。

重新启动主机，进入其它操作系统，如Windows 98。如果Windows NT/2000是以FAT16/32磁盘格式安装的，则可以直接读取sam文件；如果Windows NT/2000是以NTFS磁盘格式安装的，则可以借助工具NTFS98，在Windows 9x中读写NTFS磁盘的内容，或者借助工具NTFSDOS，在DOS环境下读写NTFS磁盘内容。

获取%SystemRoot%\repair\sam._文件