关于渗透的一些思考问题-优快云博客

本文链接：https://blog.youkuaiyun.com/gyuguyfdsd/article/details/139268796

1. windows登录的明文密码，存储过程是怎么样的，密文存在哪个文件下，该文件是否可以打开，并且查看到密文

Windows登录的明文密码存储过程及密文存储位置如下：

存储过程：

用户输入：用户尝试登录时，会输入明文密码。
哈希处理：系统不会直接存储明文密码，而是会对其进行哈希处理。这通常涉及到NTLM或Kerberos身份认证协议。
缓存与丢弃：客户端会对密码进行哈希处理并缓存密码的哈希值，同时丢弃实际的明文密码。
认证过程：
- 客户端将用户名发送到服务器，发起认证请求。
- 服务器生成一个随机数（挑战码），并传回客户端。
- 客户端使用缓存中的密码哈希对挑战码进行加密，生成响应（Net-NTLM Hash），然后将挑战码、响应及用户名一并传给服务器。
- 服务器将这些信息转发给域控制器（DC）。
- DC根据用户名找到对应的NTLM Hash，并用它和挑战码进行加密。
- DC将加密后的哈希值与客户端传来的响应比较，如果相同，则认证成功。

密文存储位置：

密文（哈希值）存储在Windows的Security Accounts Manager（SAM）数据库中，具体文件为C:\Windows\System32\config\SAM。

文件访问权限：

是否可以打开：SAM是系统级文件，权限很高**，通常无法直接打开**该文件。如果尝试打开，可能会显示文件正在被其他程序使用或无法访问。
是否可以查看到密文：由于SAM文件以二进制形式存储，并且权限受限**，无法直接查看其中的密文**。但是，通过特定的工具（如mimikatz），可以间接访问和查看其中的信息。

总结：

Windows登录的明文密码不会直接存储，而是通过哈希处理和缓存过程以加密形式保存在SAM数据库中。由于SAM文件的系统级权限和二进制存储形式，通常无法直接打开和查看其中的密文。但可以通过特定工具进行间接访问。

2. 我们通过hashdump 抓取出所有用户的密文，分为两个模块，为什么？这两个模块分别都代表什么

我们通过hashdump抓取出所有用户的密文时，这些密文被分为两个模块，这是因为Windows系统中使用了两种不同的哈希算法来存储用户的密码。这两个模块分别是：

LM Hash（LAN Manager Hash）：
- 代表：Windows早期版本中使用的一种密码哈希算法。
- 原因：在早期版本的Windows系统中，如Windows 95、98等，用户的密码哈希是使用LM Hash来存储的。但由于LM Hash的安全性较低，微软在后续版本中推荐使用NTLM Hash替代或禁用了LM Hash。然而，在某些配置或特定情况下，LM Hash可能仍然被使用或存在于系统中。
NTLM Hash：
- 代表：Windows NT（如Windows 2000及以上版本）及后续版本中使用的密码哈希算法。
- 原因：NTLM Hash是基于MD4算法加密的，相比LM Hash提供了更高的安全性。因此，从Windows NT开始，微软引入了NTLM Hash作为新的密码存储方式，并逐渐淘汰了LM Hash。

分点表示与归纳：

这种分模块的方式有助于工具（如hashdump）在抓取密码哈希时能够区分和识别出使用不同算法存储的哈希值，从而为用户提供更详细和准确的信息。

3. 为什么第一个模块永远是一样的aad3

关于第一个模块永远是一样的“aad3”，实际上这是一个常见的误解或混淆。在Windows系统的哈希处理中，特别是在讨论LM Hash（LAN Manager Hash）时，通常不会直接提到“aad3”作为哈希值的一部分或固定值。

首先，需要澄清的是，LM Hash的生成过程涉及多个步骤，包括将密码转换为大写、填充到特定长度、分半、添加校验位、使用DES加密等。这个过程的结果是得到一个特定的哈希值，这个值是由加密算法和输入的密码共同决定的，而不是一个固定的“aad3”。

然而，有时可能会看到与“aad3”相关的描述或信息，这可能是因为：

误解或混淆：可能是对LM Hash生成过程的误解或混淆，导致将某个中间步骤或特定值错误地解释为哈希值的一部分。
特定情况：在某些特定情况下（如默认密码、空密码或某些弱密码），LM Hash的生成过程可能会产生相似的或可预测的结果。但这种情况并不代表LM Hash本身有一个固定的“aad3”值。

为了更好地理解这个问题，我们可以参考Windows系统中哈希处理的官方文档或相关安全资料，以获取更准确和详细的信息。

归纳：

4. 这两个模块的加密算法有什么不同，如何加密的