Tres excelentes maneras de obtener la contraseña del usuario que inició sesión en win 2003

Con el fin de proteger los datos personales, la mayoría de los internautas establecerán una contraseña de inicio de sesión para sus propias computadoras. Todos tienen una variedad de contraseñas en sus cabezas. Así que, en Win 2003, ¿cómo obtengo la contraseña del usuario que inicia sesión? En el sistema, hay varias formas de obtener la contraseña del usuario que ha iniciado sesión. Xiaobian te dirá las tres formas en que sabe para lograr sus objetivos.

1.Hook algunas funciones en winlogon, también hay este tipo de programa en Internet, el proyecto llamado winlogonhijack está disponible en rootkit.com, pero el proyecto solo es válido para usuarios locales, los usuarios remotos no son válidos.

2. Use Gina y winlogon para conectar. Mientras ejecute su propio código para registrar contraseñas para ciertas funciones, puede registrar las contraseñas con alta estabilidad y es efectivo para el inicio de sesión local o remoto. Los programas de puerta trasera de Gina existentes no se han exportado en XP o 2003, principalmente porque xp y 2003 agregaron nuevas funciones a winlogon.

3. Lea directamente los datos de la memoria para obtener la contraseña de texto sin formato. En NT 4.0 /2K, el programa findpass puede leer directamente los datos de la memoria en el proceso de winlogon y obtener directamente la contraseña de usuario de inicio de sesión, porque en NT4.0 y 2K, la información de la cuenta, incluido el nombre de dominio, el número de cuenta y la contraseña son Se encuentra regularmente en la dirección específica en la memoria de winlogon, por lo que se puede obtener de manera muy simple. Pero en los sistemas XP y 2003, este método no es válido, parece que no tenemos forma de leer la dirección de texto simple directamente. Hablemos sobre cómo obtener la contraseña del usuario de inicio de sesión en el servidor 2003 como findpass en NT 4.0 y 2K.

Aunque XP y 2003 no almacenan la información de usuario de inicio de sesión en la dirección de memoria del proceso de winlogon como en el sistema NT anterior, el proceso Lsass básico debe obtener la contraseña de usuario de inicio de sesión de texto simple al procesar cierta información. Entonces, la contraseña del usuario de inicio de sesión aparecerá en el proceso de Lsass (Microsoft no cifró la contraseña en el proceso de Lsass, Microsoft dijo que debido a que Lsass necesita obtener la contraseña de texto simple, incluso si la contraseña está cifrada, solo se puede cifrar de manera reversible. Siempre que realice un seguimiento del funcionamiento de lsass, puede obtener la contraseña de texto simple, por lo que Microsoft utiliza un método perezoso, que también se puede usar para acelerar la respuesta, por lo que la contraseña de texto simple se coloca en la memoria del proceso lsass. Dicho esto, todos saben que la contraseña del usuario de inicio de sesión está en la memoria del proceso lsass. Sí, así es, pero obtener esta contraseña de texto simple es tan fácil como usar findpass en NT 4.0 y 2K. No es tan fácil por las siguientes razones:

A. La dirección de memoria almacenada en el proceso lsass es irregular.

B. La contraseña puede ser sobrescrita por el último usuario registrado (por ejemplo, el administrador abc inicia sesión localmente, luego el administrador bbb inicia sesión desde el control remoto y luego administra El miembro bbb cierra sesión en el terminal, la contraseña almacenada en la memoria del proceso lsass.exe o la contraseña del administrador bbb), o después de que el usuario inicie sesión y luego cierre la sesión, incluso si obtenemos la contraseña, no sabemos qué contraseña de usuario.

C. Los datos anteriores y posteriores a la contraseña también son irregulares. Si hay una regularidad, como los datos anteriores a la contraseña, debe haber un segmento de datos que contenga todos los 01 caracteres, entonces la contraseña de ubicación es simple.

Las causas A y C nos dan la dificultad de ubicar las contraseñas. La B original presenta problemas que no pueden ser determinados por contraseñas y cuentas. Parece que Microsoft ha realizado algunos trabajos en el nuevo sistema. Sin embargo, no nos rendiremos, incluso si probamos suerte, podemos ver si podemos obtener la contraseña. Si falla, no importa.

El código final, escribí para probar si puedo obtener la contraseña del invitado en el sistema 2003, y el resultado es como el análisis anterior (por supuesto, el resultado anterior es usar este programa) Medido). Por supuesto, la tasa de éxito no es alta, ya que se ve afectada por demasiados motivos, la dificultad de ubicar la contraseña o la incapacidad para localizarla, o la información que no es la contraseña, etc. La tasa de falla es bastante alta, pero siempre es un método, o Alguien puede localizar con precisión en el futuro, y eso es agradable. Aunque la tasa de fallos es alta, en un caso, la tasa de éxito es muy alta, es decir, el administrador simplemente inicia sesión localmente o en el terminal, y ningún usuario inicia sesión desde el local o terminal en el futuro, y el administrador no tiene Después de bloquear el sistema, la tasa de éxito será bastante alta.

Dos formas de mejorar la tasa de éxito:

1. El programa se escribe directamente en el servicio y el inicio de sesión local o remoto se verifica regularmente (de hecho, no hay diferencia). Cuando se detecta el inicio de sesión, se busca la memoria del proceso lsass. , intenta obtener la contraseña.

2. El programa simula un inicio de sesión (puede hacerlo con LogonUser ()), ya que al usar LogonUser () API, debe proporcionar el nombre de la cuenta y la contraseña correcta correspondiente antes de poder tener éxito. Búsqueda de memoria de proceso lsass. Como sabemos cuál es la contraseña, podemos localizar dónde se almacena la contraseña. Debido a que la contraseña del usuario de inicio de sesión se almacena en la misma dirección o no muy lejos de la dirección, simule el inicio de sesión y la búsqueda, primero puede ubicar la contraseña del usuario que iniciará sesión más tarde.

Independientemente de los tres métodos, el método más estable y seguro es utilizar el método de Gina. Hijack tiene algunos métodos de winlogn API. Después de todo, cambia las cosas del sistema y la estabilidad del sistema. De hecho, habrá una prueba, buscará directamente el método de memoria de proceso lsass, aunque es difícil, pero la precisión, la tasa de éxito es baja.

El siguiente código utiliza un método de búsqueda muy estúpido y muy primitivo, que busca principalmente la cadena "LocalSystem Remote Procedure" en la memoria de Lsass, porque en algunas pruebas se guarda la contraseña. En la posición después de la dirección de esta cadena, por supuesto, muchos sistemas no tienen esta cadena, o incluso si la hay, obtenemos la contraseña incorrecta. Previo123Página siguiente Total 3 páginas