1. windows登录的明文密码,存储过程是怎么样的,密文存在哪个文件下,该文件是否可以打开,并且查看到密文
在Windows中,用户登录的密码不会以明文形式保存,会以加密形式存储。其默认使用NTLM或Kerberos认证协议进行加密存储密码。其密文存储在路径C:\Windows\System32\config\SAM中的SAM,一般是打不开该文件,会显示另一个程序正在使用此文件,进程无法访问。所以无法打开并且查看到密文,但是我们可以通过下载外部工具mimikatz通过hashdump模块来查看,下面的链接中包含为如何使用HashDump抓取密码Metasploit之Hash攻击(Hashdump、Quarks PwDump、Windows Credentials Editor、Mimikatz) - coderge - 博客园 (cnblogs.com)。
2. 我们通过hashdump 抓取出 所有用户的密文,分为两个模块,为什么? 这两个模块分别都代表什么
因为抓取出来的这两部分是不同的内容,第一部分是LM哈希,第二部分是NT哈希。
3. 为什么第一个模块 永远是一样的aad3
因为LM哈希不安全,都是aad3这样的内容说明LM Hash为空值或被禁用了。
4. 这两个模块的加密算法有什么不同,如何加密的
第一部分是基于DES算法加密的,第二部分是基于MD4算法加密的;
第一部分加密过程是用户密码首先被转换为Unicode格式,然后使用Unicode Little-Endian编码进行哈希,第二部分是将用户密码和一些随机数来结合计算出的哈希值,更复杂更安全。
下面来抓取SAM中的密文内容:
MD5免费在线解密破解_MD5在线加密-SOMD5
