1. windows登录的明文密码,存储过程是怎么样的,密文存在哪个文件下,该文件是否可以打开,并且查看到密文
在windows中,用户登录的密码一般不会以明文的形式保存在计算机中,而是通过保存密码的哈希值来确保它的安全性;Windows默认使用NTLM或Kerberos身份认证协议进行加密存储用户登录的密码。
什么是NTLM?
它是一种质询/应答身份验证协议,用于在网络环境中验证用户的身份。NTLM协议既可以为工作组中的机器提供身份验证,也可以用于域环境身份验证。在NTLM认证的过程中,客户端回和服务器进行一系列的交互,以便于验证用户的身份;
什么是Kerberos?
一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。它的加密功能比NTLM更加强大;
具体的存储过程:
1,当用户注销、重启或锁屏后,操作系统会让winlogon.exe显示登录界面,接收用户的输入信息。
2,用户输入密码后,密码信息会交给lsass进程。在这个过程中,会存一份明文密码,并将其加密成NTLM Hash。
3,加密后的密码哈希值会与存储在SAM(Security Accounts Manager)数据库中的哈希值进行比较认证。
密文一般存储在:C:\Windows\System32\config\SAM文件中,此文件保存了Windows系统中所有用户的密码哈希值,是一个二进制文件,因此无法直接打开并查看到明文密码;为了保护用户的密码安全,SAM文件是被Windows系统保护的,普通用户无法直接访问或修改。只有具有管理员权
2. 我们通过hashdump 抓取出 所有用户的密文,分为两个模块,为什么? 这两个模块分别都代表什么
hashdump抓取的密文分为LMhash和NThash:
LMhash(LAN Manager):LM哈希是Windows早期版本中使用的一种较弱的哈希算法。当用户的密码长度小于15个字符时,Windows会首先将其转换为大写,然后使用LM哈希算法进行处理。然而,由于LM哈希算法存在已知的安全漏洞,因此现代Windows系统默认禁用了LM哈希,或者仅当密码长度超过14个字符时才使用它。在某些情况下,如果LM哈希被禁用或未使用,这个模块的值可能会显示为固定的值,就表示LM哈希为空或未使用。现代的Windows系统一般会使用更安全的NTLM hash;
NTLM hash:它是Windows系统中更为常用的哈希算法,用于存储用户的密码信息,与LM哈希不同,NT哈希没有长度限制,并且使用了更安全的加密算法。因此,在大多数情况下,NT哈希是更可靠和安全的密码存储方式。
因此通过抓取这两个模块的哈希值,攻击者可以尝试破解用户的密码。不过,需要注意的是,即使获得了哈希值,也不意味着可以直接还原出明文密码。破解哈希值通常需要使用暴力破解、字典攻击或其他高级技术,这取决于密码的复杂性和长度。
3. 为什么第一个模块 永远是一样的aad3
因为为了保证系统的兼容性,Windows将LM hash禁止使用了,当其被禁用时,攻击者通过工具抓取的LM hash通常为这个固定的值;所以LM hash的固定值永远都为aad3
4. 这两个模块的加密算法有什么不同,如何加密的
两者都是使用hash算法进行加密的:
LM hash将用户的密码首先转换成大写,其次转换成16进制的字符串,如果密码的长度不足14个字节,它会在后面用0补全;其加密的本质就是DES加密
NTLM hash的长度通常为32位,由数字和字母组成;使用更复杂的算法和更长的哈希值来存储密码,从而提供了更高的安全性;
811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
