1. windows登录的明文密码,存储过程是怎么样的,密文存在哪个文件下,该文件是否可以打开,并且查看到密文 ————
C:\Windows\System32\config\sam
Windows登录的明文密码通过加密转换为LM和NT哈希后存储在SAM文件中。
虽然理论上可以通过特定的工具访问这些文件,但由于文件格式和安全限制,直接查看这些文件中的密文是不可行的。
2. 我们通过hashdump 抓取出 所有用户的密文,分为两个模块,为什么? 这两个模块分别都代表什么 ————
NTLM模块:这个模块代表的是NT LAN Manager,这是一种较早的加密方式,主要用于Windows NT/2000/XP等操作系统中的用户密码存储。NTLM加密算法较为简单,容易被破解工具如hashdump所利用。
LM模块:这个模块代表的是LAN Manager,同样是一种较早的加密方式,用于Windows95/98/ME等操作系统中的用户密码存储。与NTLM类似,LM加密算法也较为简单,容易被破解工具所利用。
总结来说,将hashdump抓取的密文分为两个模块是为了分别处理这两种不同的加密算法,
因为它们各自有不同的特点和破解难度。这种分模块处理的方法有助于更有效地提取和分析密码信息,
尤其是在进行安全审计或渗透测试时。
3. 为什么第一个模块 永远是一样的aad3 ————
第一个模块永远是一样的aad3的原因是因为LM哈希不安全,使用aad3这样的内容说明LM Hash为空值或被禁用了。这表明在某些情况下,为了保证系统的安全性或者出于对旧加密算法的不信任,系统可能会默认使用一个特定的值(如aad3)作为加密过程的一部分,即使这个值可能不是由用户输入或其他动态数据生成的。这种做法可能是为了避免依赖于可能容易受到攻击的加密算法,从而提高系统的整体安全性。
4. 这两个模块的加密算法有什么不同,如何加密的 ————
- LM Hash的加密过程相对简单。首先,将明文密码转换为大写形式,然后转换为16进制字符串。如果转换后的字符串长度不足14字节,则需要填充至14字节。最后,将密码拆分为两个7个字符的块,并使用DES加密算法对这两个块进行加密,得到最终的哈希值358。
- NTLM Hash的加密过程更为复杂。它基于MD4加密算法进行加密,涉及到挑战/响应机制。NTLM v1的主要加密算法是DES,而NTLM v2的主要加密算法是HMAC-MD59。具体来说,NTLM认证过程中使用的是用户密码的NTLM Hash来进行加密,这个过程中会涉及到一个随机生成的挑战值(Challenge),客户端和服务器通过计算响应来证明其身份62123。