电子取证-破解给定的SAM文件

时间:2022-11-29 02:48:20

给你一个SAM文件,如何提取出登录密码?

SAM文件

① LMHASH

Administrator:500:0182bd0bd4444bf867cd839bf040d93b:c22b315c040ae6e0efee3518d830362b:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:132893a93031a4d2c70b0ba3fd87654a:fe572c566816ef495f84fdca382fd8bb:::
windows 2000,2003,xp中,是LMHASH和NTHASH一起使用。原因是一开始用的LMHASH太容易被破解,但是换成NTHASH(密码强度比较高)会有兼容性的问题,所以都留下了。对这种的攻击主要是对LMHASH的攻击。

②NTHASH

Administrator:500:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
admin:1001:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
HomeGroupUser$:1002:NO PASSWORD*********************:3E4ABEB51FBFDBB211C6CC39EC2DFADB:::
root:1003:NO PASSWORD*********************:329153F560EB329C0E1DEEA55E88A1E9:::

没有LMHASH,是在win7下测试的,win10不知道为什么会有

vista后只用NTHASH,使得破解难度增大。

提取SAM中的密码哈希值(这里以win7为例子)

SAM是加密后的且没有办法直接打开的。这里借助工具pwddump7,先提取出密码的哈希值。
然后用工具ophcrack或者在线网站cmd5或者https://www.objectif-securite.ch/en/ophcrack.php解密

必须得管理员身份运行cmd才可以。

进入pwddump.exe得目录,然后pwddump7.exe,可以直接看到本地电脑中的账户密码

电子取证-破解给定的SAM文件

找到哈希值。NTHASH:329153F560EB329C0E1DEEA55E88A1E9(LMHASH不存在,只在低版本有)

上破解工具,还要自己下字典,百度即可。

注意输入格式,因为没有LMHASH,所以

:NTHASH

电子取证-破解给定的SAM文件

破解成功(密码是我设置的root)

电子取证-破解给定的SAM文件

只给一个SAM能否破解?

是不能的,因为在做数字取证题目提取哈希内容的时候,必须知道SAM和SYSTEM的位置,另外看pwdump的使用说明

 usage:
pwdump7.exe -s <samfile> <systemfile> (Dump passwords from files)

必须得知道sam和system。

也就是说,你如果做题目的话,只给一个SAM是不可以的,和系统有关系。

这里我把我win7系统下的SAM保存为1,SYSTEM保存为2,然后拷贝到了win10上边,放到了c盘(SAM和SYSTEM文件必须用绝对路径)。

提取SAM文件的命令:(可以自己尝试一下)

pwdump.exe -d c:\windows\system32\config\SAM c:\1
system文件同理

就假如现在题目:

给定了SAM和SYSTEM文件,求出root用户的密码。

PwDump7.exe -s c:\1 c:\2

如此便求出了root用户的哈希值,然后继续用ophcrack跑就好了。

补充:

上边说的只是NTHASH的时候,win2000,2003,xp的时候也可以通过LMHASH破解并且更容易。

Administrator:500:0182bd0bd4444bf867cd839bf040d93b:c22b315c040ae6e0efee3518d830362b:::

拿上边这一条来说,ophcrack的使用方法也有很多。

可以直接输入LMHASH,也可以LMHASH:NTHASH

看到网上有说LC5可以直接导入SAM文件的,去试了下,发现散列的值没有一个对的,字典也跑不出来。