目录
windows认证包括本地认证、网络认证和域认证三个部分windows认证和密码的抓取可以说是内网渗透的第一步。
1、window认证流程
Windows的登陆密码是储存在系统本地的SAM文件中的,在登陆Windows的时候,系统会将用户输入的密码与 SAM文件中的密码进行对比,如果相同,则认证成功
SAM文件是位于 %SystemRoot%\system32\config\ 目录下的,用于储存本地所有用户的凭证信息,但当我们去进行点击的时候我们会发现无法直接查看。
简单来讲本地认证的流程可以分为五步:
winlogon.exe ——用户输入账号密码——lsass.exe——转换为NTLM Hash和SAM文件中的值相比——登录成功或失败。
用户注销、重启、锁屏后,操作系统会让winlogon.exe显示登陆界面,也就是输入框界面,接收用户的输入信息后,将密码交给lsass进程,这个过程中会存一份明文密码,将明文密码加密成NTLM Hash,对SAM数据库进行比较认证 。
Windows Logon Process(即winlogon.exe):是Windows NT 用户登陆程序,用于管理用户登陆和退出
LSASS:用于微软Windows系统的安全机制,它用于本地安全和登陆策略
本地认证中用来处理用户输入密码的进程即lsass.exe,密码会在这个进程中明文保存,供该进程将密码计算成NTLM 。Hash与sam进行比对,我们使用mimikatz来获取明文密码,便是在这个进程中读取到的。
2、LM Hash和NTLMHash
Windows操作系统通常使用两种方法对用户的明文密码进行加密处理。在域环境中,用户信息存储在ntds.dit中,加 密后为散列值。 Windows操作系统中的密码一般由两部分组成,一部分为 LM Hash,另一部分为NTLMHash。在Windows操作系统中,Hash的结构通常如:username:RID:LM‐HASH:NT‐HASH
2.1LM Hash原理
a、将明文口令转换为其大写形式 假设这里以明文Admin@123为例,转换为大写格式为:ADMIN@123
b、 将字符串大写后转换为16进制字符串转换后为 41 44 4D 49 4E 40 31 32 33
c、密码不足14字节要求用0补全, 并分成2组7字节
1Byte=8bit,上面的16进制字符串共9个字节,差5个字节 ,使用 00 00 00 00 00 补全为
41 44 4D 49 4E 40 31
32 33 00 00 00 00 00
d、将每一组7字节的十六进制转换为二进制,每7bit一组末尾加0,再转换成十六进制组成得到2组8字节的编码
第一组
e、将以上步骤得到的两组8字节编码,分别作为DES密钥,为魔术字符串 KGS!@#$% 进行加密 KGS!@#$%的16进制为 4B47532140232425
f、最终结果拼接即可。
2.2、NTLM Hash原理
a、将明文口令转换成十六进制的格式 如:Admin@123 转换成Unicode格式,即在每个字节之后添加0x00
如:
Admin@123转16进制 41646D696E40313233
添加00:410064006D0069006E004000310032003300
b、对Unicode字符串作MD4加密,生成32位的十六进制数字串