1.windows登录的明文密码,存储过程是怎么样的,密文存在哪个文件下,该文件是否可以打开,并且查看到密文
a.存储和过程
- 用户尝试登录时,客户端会对密码进行哈希处理并缓存密码的哈希值,同时丢弃实际的明文密码。
- 客户端将用户名发送到服务器,发起认证请求。
- 服务器生成一个随机数,并传回客户端。
- 客户端使用缓存中的密码哈希对随机数进行加密,生成响应(Net-NTLM Hash),然后将随机数、响应及用户名一并传给服务器。
- 服务器将这些信息转发给域控制器(DC)。
- DC根据用户名找到对应的NTLM Hash,并用它和随机数进行加密。
- DC将加密后的哈希值与客户端传来的响应比较,如果相同,则认证成功。
b.密文位置
密文存储在SAM(Security Accounts Manager)数据库中,该数据库位于`C:\Windows\System32\config\SAM`文件下。
注:SAM文件是Windows系统中的一个受保护的系统文件,通常情况下无法直接访问或打开。
c. 查看SAM文件的方法
- 由于SAM文件是受保护的,普通用户无法直接打开或查看其中的密文。
- 如果需要查看SAM文件中的内容,通常需要管理员权限,并且使用特定的工具或命令来访问。例如,可以使用注册表编辑器(regedit)来查看SAM文件中的内容,但这通常需要系统级别的权限。
- 在某些情况下,如系统被入侵或管理员需要恢复密码时,可能会使用专门的工具来提取SAM文件中的哈希值,但这属于高级操作,需要专业知识和相应的权限
2.我们通过hashdump 抓取出 所有用户的密文,分为两个模块,为什么? 这两个模块分别都代表什么
a.分成两个模块的原因
在Windows系统中,通过hashdump抓取的用户密文分为两个模块,这是因为Windows系统使用了两种不同的密码哈希算法来存储用户密码的哈希值。
这两个模块分别代表了同一个密码的两种不同的加密方式。在hashdump抓取结果中,通常可以看到两个密文模块,它们分别是LM Hash和NTLM Hash。这种设计是为了保证系统的兼容性,即使在禁用了LM Hash的情况下,仍然可以生成一个固定的LM Hash值,以确保旧版本的软件或服务能够正常工作
b. LM Hash和NTLM Hash
LM Hash(LAN Manager Hash)
- LM Hash是微软早期为了提高Windows操作系统的安全性而采用的散列加密算法。
- 它基于DES加密算法,将用户密码转换为固定长度(16字节)的哈希值。
- 由于LM Hash的弱点和易于破解,从Windows Vista和Windows Server 2008版本开始,Windows操作系统默认禁用了LM Hash。
- 如果LM Hash被禁用,攻击者抓取的LM Hash通常显示为固定的值`aad3b435b51404eeaad3b435b51404ee`
NTLM Hash(NT LAN Manager Hash)
-
NTLM Hash是微软为了在提高安全性的同时保证兼容性而设计的散列加密算法。
-
它基于MD4加密算法进行加密,使用更复杂的算法和更长的哈希值来存储密码,通常是32个字符的长度。
-
NTLM Hash比LM Hash更安全,难以破解,并提供了更高的安全性。
-
个人版从Windows Vista以后,服务器版从Windows Server 2003以后,Windows操作系统的认证方式均为NTLM Hash
3.为什么第一个模块 永远是一样的aad3
第一个模块(LM Hash)永远是一样的aad3是为了确保系统在禁用LM Hash的情况下,仍然能够与旧版本的软件或服务保持兼容性,同时提高系统的安全性。
4. 这两个模块的加密算法有什么不同,如何加密的
a.加密方式
LM Hash(LAN Manager Hash)
- 加密算法:
LM Hash使用的是DES(Data Encryption Standard)算法,这是一种较旧的对称加密算法。
- 加密过程:
- 将用户密码转换为大写。
- 如果密码长度小于14个字符,会在密码末尾填充空格直到达到14个字符。
- 将填充后的密码分为两部分,每部分7个字符。
- 对这两部分分别进行DES加密。
- 将两个加密结果拼接起来,形成最终的LM Hash值。
NTLM Hash(NT LAN Manager Hash)
- 加密算法:
NTLM Hash使用的是MD4(Message Digest Algorithm 4)算法,这是一种较早的哈希函数。
- 加密过程:
- 将用户密码转换为大写。
- 如果密码长度超过14个字符,会截断密码至14个字符。
- 使用MD4算法对密码进行哈希处理,生成一个128位(16字节)的哈希值。
- 这个哈希值就是NTLM Hash。
b.不同
- 算法安全性:NTLM Hash使用MD4算法,比LM Hash使用的DES算法更安全,因为MD4算法的哈希值更难以通过暴力破解或彩虹表攻击来还原原始密码。
- 密码处理:LM Hash对密码进行填充和分割处理,而NTLM Hash则直接对密码进行哈希处理,不进行填充或分割。
- 密码长度:LM Hash对密码长度有限制,最多只能处理14个字符的密码,而NTLM Hash可以处理更长的密码。
- 兼容性:LM Hash是为了与旧系统兼容而设计的,而NTLM Hash是更现代的哈希算法,提供了更好的安全性。
扫一扫
8458
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
