系统提权和日志管理

windows密码文件破解

 

windows系统存储密码的文件在c:\windows\system32\config\SAM文件中

但是是以Hash来存储的。

 

LM-Hash，Win9x系统采用，安全性比较差。

NTLM-Hash，Win2000之后的系统采用。

Win7/2008之前的系统同时采用这两种方式存储密码；

Win7/2008之后的系统只采用NTLM-Hash。

 

GetHashes

只能获取WinXP/2003以下系统的用户密码Hash值，已经比较过时了。

 

Quarks PwDump

支持XP/2003/Vista/7/2008/8/2012

使用这样的软件可以破解得到本地账户的hash值，我们可以通过菜刀连上服务器再上传QuarksPwDump.exe，在命令行里运行

但是出现了DNS服务器对区域没有权威的问题

 

 

原来是因为我是从文件夹里面直接打开cmd的，会缺少权限，所以才会这样，还是老老实实打开cmd，

输入命令QuarksPwDump.exe -dhl 就是会把local的账户hash给dump（倾倒）下来

 

 

 

 

下面就看得到该主机的账号和对应密码的hash了

 

 

 

然后呢 我们再在这个网站上https://www.objectif-securite.ch/ophcrack破解hash值，成功得到win7的密码

 

 

然后我试了一下win10系统，目前这个软件是dump不出来的。

 

 

 

建立简单的隐藏账号

在创建账号的时候加上$符号，这样可以简单隐藏 net user 命令查看不到

 

但是呢 我们可以在图像界面用户组里面看到，所以说这个手段还是不够隐蔽

 

 

常常使用注册表来创建相当于是administrator的clone账号，为什么这么说呢？

 

我们使用whoami /all

 

 

 

 

 

SID：系统为每个用户账号建立一个唯一的安全标识符（Security Identifier，SID），在Windows系统内部核心，是利用SID而不是账户名称来表示或识别每个用户。

 

 

 

 这就相当于我们每个人的身份证号一样，是唯一的。

RID：红色箭头所指的最后一位 1003便是RID。

RID是500的SID是系统内置Administrator账户，即使重命名，其RID仍保持为500不变。

RID为501的SID是Guest账户， 后来新建的用户账户的RID都是从1000开始。

 

那么我们打开注册表，regedit，HKEY_LOCAL_MACHINE\SAM\SAM]目录下，SAM肯定是和用户账号相关的

 

 

但是这里到SAM文件夹就啥也没有了，我们查看权限

 

 

 管理员用户是没有权限控制的，system才有，我们勾选上权限就可以看见了

 

 

 

这里管理员的注册表键值类型是0x1f4，也就是500这里是RID

 

 

 

 再看看我们之前查看的用户0x3eb，果然也是1003

 

 

 

 

 

如何隐藏hack$用户呢，我们先把对应的账户文件夹注册表导入下来，然后删掉hack$用户

 

 

 

 

 

 

 

 

 

接着再导入这两个注册表文件

 

 

接着再 检查一下是否还看得见这个用户

 

 

 

 

现在是找不到hack$这个用户了，那么我们如何添加到管理员组中去，而且net user localgroup administrators 查不到呢？

这就要说到SID了，我们为什么说前面clone管理员账户呢，我们hack$账号使用管理员账号的SID这样就相当于clone了

 

 

复制所选16进制，然后粘贴到我们hack$账号的F注册表上，这样我们hack$账号就成功clone了！