WindowsXP系统密码破解方法（引）2009-12-0312:46到底用什么样的方式才能较长时间地控制已经得到了权限的目标呢？留后门，种木马，甚至是Rootkit？留的Webshell痕迹太明显，哪怕是一句话的Webshell，都极容易被管理员清除。放了木马，也容易被有经验的管理员查出来，毕竟现在能做到无声无色的木马还是比较少。早期的是自己建个进程，结束掉进程就over了，后来有了注入进程的木马，再后来还有了以服务启动的木马，还有些是替换某些不要紧的系统自有服务来启动的……不过上述方法隐蔽性都太差了，不管你的后门留得如何完美，不管你的木马程序多么免杀，终究还是做不到不留任何痕迹。是不是就没有办法了呢？非也，某前辈（凋凌玫瑰）的一句名言惊醒了N多彷徨的菜鸟（如我之流）：我一般不喜欢在服务器留木马或是后门，我比较喜欢利用管理员进入的方式来管理服务器（凋凌玫瑰文章原话引用）。管理员的进入方式，怎么理解呢？换句话说就是，管理员是怎么进他服务器的，我们就怎么进他的服务器。如果他是3389终端进入的，我们就终端进入，当然前提是要想办法得到他的管理员用户的密码；如果他是Pcanywhere进入的，我们就想办法获取他的Pcanywhere密码进入；如果他是Radmin进入服务器的，我们也要想办法搞到他的Ramin密码进入。这样的话，隐蔽性就大大提高了，肉鸡自然就没有这么容易跑掉了。如果他这个密码是域管理员密码，如果他这个密码可以管理整个机房的机器，如果他这个密码可以通杀他的内网，如果这个密码还能登录他的QQ！夸张点说，甚至他重装系统了，还用的是这个密码，那你的肉鸡又复活了……后果真是太可怕了（擦下汗先）！废话少说，直入正题——Windows系统密码破解全攻略。本文所指均为无物理接触的系统密码破解，如果让黑客物理接触计算机，根本就没有什么系统进不去的，而且操作更加简单，速度更快，呵呵。背景要破解一个程序的密码，要先了解它的一些背景知识。先来简单说一下Windows系统密码的加密算法。早期SMB协议在网络上传输明文口令。后来出现"LANManagerChallenge/Response"验证机制，简称LM，它是如此简单以至很容易被破解。微软提出了WindowsNT挑战/响应验证机制，称之为NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。Windows加密过的密码口令，我们称之为hash（中文：哈希），Windows的系统密码hash默认情况下一般由两部分组成：第一部分是LM-hash，第二部分是NTLM-hash。以下内容摘选自安全焦点：--------------------------------------引文开始----------------------------------------------一、如何从明文口令生成LM-Hash？1、假设明文口令是"Welcome"，首先全部转换成大写WELCOME，再做如下变换："WELCOME"->57454C434F4D4500000000000000先把WELCOME转换成十六进制形式，在明文口令不足14字节的情况下，后面添加0x00补足14字节。有些书上介绍添加空格(0x20)补足14字节，这是错误的，我不清楚是原作者写错了，还是译者的问题。2、然后切割成两组7字节的数据，分别经str_to_key()函数（代码已附光盘）处理得到两组8字节数据：57454C434F4D45-str_to_key()->56A25288347A348A00000000000000-str_to_key()->00000000000000003、这两组8字节数据将做为DESKEY对魔术字符串"KGS!@#$%"进行标准DES加密（代码已附光盘）："KGS!@#$%"->4B4753214023242556A25288347A348A-对4B47532140232425进行标准DES加密->C23413A8A1E7665F0000000000000000-对4B47532140232425进行标准DES加密->AAD3B435B51404EE4、将加密后的这两组数据简单拼接，就得到了最后的LM-HashWelcome的LM-Hash:C23413A8A1E7665FAAD3B435B51404EE。显然，由于明文口令一开始就全部转换成大写，导致多个明文口令对应一个LM-Hash。反过来，在穷举破解LM-Hash时，得到的有可能不是原始口令，因为不可能确定大小写。仔细观察前述SMB身份验证过程，即使这里得到的不是原始口令(大小写有差别)，同样可以通过SMB身份验证。这种转换成大写的行为减小了穷举破解难度。另一个弱点，当明文口令小于8字节时，LM-Hash后8字节的计算过程总是这样的：00000000000000-str_to_key()->0000000000000000对4B475...