Tres formas de ayudarlo a obtener la contraseña de inicio de sesión en win 2003

  
                

En todos los sistemas NT, hay varias formas de obtener la contraseña del usuario que ha iniciado sesión. Los tres métodos que conozco pueden lograr mis metas.

1.Hook algunas funciones en winlogon, también hay este tipo de programa en Internet, el proyecto llamado winlogonhijack está disponible en rootkit.com, pero el proyecto solo es válido para usuarios locales, los usuarios remotos no son válidos.

2. Use Gina y winlogon para conectar. Mientras ejecute su propio código para registrar contraseñas para ciertas funciones, puede registrar las contraseñas con alta estabilidad y es efectivo para el inicio de sesión local o remoto. Los programas gina backdoor existentes no se han exportado en XP o 2003, principalmente porque xp y 2003 han agregado nuevas funciones a winlogon.

3. Lea directamente los datos de la memoria para obtener la contraseña de texto sin formato. En NT 4.0 /2K, el programa findpass puede leer directamente los datos de la memoria en el proceso de winlogon y obtener directamente la contraseña de usuario de inicio de sesión, porque en NT4.0 y 2K, la información de la cuenta, incluido el nombre de dominio, el número de cuenta y la contraseña son Se encuentra regularmente en la dirección específica en la memoria de winlogon, por lo que se puede obtener de manera muy simple. Pero en los sistemas XP y 2003, este método no es válido, parece que no tenemos forma de leer la dirección de texto simple directamente. Hablemos sobre cómo obtener la contraseña del usuario de inicio de sesión en el servidor 2003 como findpass en NT 4.0 y 2K.

Aunque XP y 2003 no almacenan la información de usuario de inicio de sesión en la dirección de memoria del proceso de winlogon como en el sistema NT anterior, el proceso Lsass básico debe obtener la contraseña de usuario de inicio de sesión de texto simple al procesar cierta información. Entonces, la contraseña del usuario de inicio de sesión aparecerá en el proceso de Lsass (Microsoft no cifró la contraseña en el proceso de Lsass, Microsoft dijo que debido a que Lsass necesita obtener la contraseña de texto simple, incluso si la contraseña está cifrada, solo se puede cifrar de manera reversible. Siempre que realice un seguimiento del funcionamiento de lsass, puede obtener la contraseña de texto simple, por lo que Microsoft utiliza un método perezoso, que también se puede usar para acelerar la respuesta, por lo que la contraseña de texto simple se coloca en la memoria del proceso lsass. Dicho esto, todos saben que la contraseña del usuario de inicio de sesión está en la memoria del proceso lsass. Sí, así es, pero obtener esta contraseña de texto simple es tan fácil como usar findpass en NT 4.0 y 2K. No es tan fácil por las siguientes razones:

A. La dirección de memoria almacenada en el proceso lsass es irregular.

B. La contraseña puede ser sobrescrita por el último usuario registrado (por ejemplo, el administrador abc inicia sesión localmente, luego el administrador bbb inicia sesión desde el control remoto y luego administra El miembro bbb cierra sesión en el terminal, la contraseña almacenada en la memoria del proceso lsass.exe o la contraseña del administrador bbb), o después de que el usuario inicie sesión y luego cierre la sesión, incluso si obtenemos la contraseña, no sabemos qué contraseña de usuario.

C. Los datos anteriores y posteriores a la contraseña también son irregulares. Si hay una regularidad, como los datos anteriores a la contraseña, debe haber un segmento de datos que contenga todos los 01 caracteres, entonces la contraseña de ubicación es simple.

Las causas A y C nos dan la dificultad de ubicar las contraseñas. La B original presenta problemas que no pueden ser determinados por contraseñas y cuentas. Parece que Microsoft ha realizado algunos trabajos en el nuevo sistema. Sin embargo, no nos rendiremos, incluso si probamos suerte, podemos ver si podemos obtener la contraseña. Si falla, no importa.

El código final, escribí para probar si puedo obtener la contraseña del invitado en el sistema 2003, y el resultado es como el análisis anterior (por supuesto, el resultado anterior es usar este programa) Medido). Por supuesto, la tasa de éxito no es alta, ya que se ve afectada por demasiados motivos, la dificultad de ubicar la contraseña o la incapacidad para localizarla, o la información que no es la contraseña, etc. La tasa de falla es bastante alta, pero siempre es un método, o Alguien puede localizar con precisión en el futuro, y eso es agradable. Aunque la tasa de fallos es alta, en un caso, la tasa de éxito es muy alta, es decir, el administrador simplemente inicia sesión localmente o en el terminal, y ningún usuario inicia sesión desde el local o terminal en el futuro, y el administrador no tiene Después de bloquear el sistema, la tasa de éxito será bastante alta. Previo12345Página siguiente Total 5 páginas

Copyright © Conocimiento de Windows All Rights Reserved