1.4 使用PwDump获取系统账号和密码

在网络攻击中,通过一些溢出程序成功溢出被攻击的计算机后,最重要的一个步骤就是获取该计算机中的用户账号和密码。特别是在成功控制服务器以后,获取系统中的账号和密码更是入侵者的必由之路。

通过使用计算机中用户原本的账号和密码登录3389终端,优于在系统中增加或者克隆账号。在系统中增加或者克隆账号容易被发现,进而导致被控计算机丢失。获取系统账号和密码的方法很多,本节使用比较流行的PwDump和LSASecretsView两款软件来获取系统中的账号和密码。

1.4.1 上传文件到欲获取密码的计算机

PwDump 4.02中有两个文件,一个是Pwd4.dll,另一个是Pwdump4.exe。在早期版本中,其DLL文件为lsaext.dll。

将这两个文件上传到欲获取账号和密码的计算机的系统目录下。

1.4.2 在Shell中执行获取密码的命令

本案例通过Radmin的Telnet来执行命令。

在系统根目录中执行“pwd4 /l /o:*.*.*.82.sam”命令,将系统中的账号和口令信息导出到“*.*.*.82.sam”文件中。导出成功后,会给出一些提示信息,如操作系统版本及用户数量等,如图1-10所示。然后,将其SAM文件传回本地计算机。

0029-1

图1-10 执行获取密码的命令

说明

(1)在本例中,直接将Pwdump4.exe的名称更改为“pwd4.exe”,是为了在操作中减少输入的内容。

(2)“pwd4”后面的参数“/l”表示导出到本地,“/o:filename”表示输出到filename文件。

1.4.3 通过LC5导入SAM文件

通过PwDump4获取的是系统账号的Hash值,需要通过一些工具软件进行破解,从而获取其账号所对应的密码。

运行LC5,新建一个Session,然后在“Session”菜单或者图标中选择“Import”选项,在“Import”窗口的“Import from file”区域选中“From PWDUMP file”单选项,然后选择刚才导出的SAM文件,如图1-11所示。

0030-1

图1-11 将SAM文件导入LC5

1.4.4 破解系统账号和密码

成功导入SAM文件后,会在LC5中显示“Domain”、“User Name”、“LM Password”、“Password”等信息,如图1-12所示。在该界面中,如果“LM Password”和“Password”列显示为“empty”,表示该账号为空或者使用PWDump未能导出其Hash值。在“User Name”列中,如果用户名以“IUSR_”、“IWAM_”开头,以及用户名为TsInternetUser、SQLDebugger的账号,均为系统账号,表示其密码是随机生成的,可以将其删除。

0030-2

图1-12 需要破解的系统账号

1.4.5 破解结果

删除一些系统中无用的账号,单击“Session”菜单中的“Begin Audit”命令,或者单击工具栏上的绿色三角形按钮,开始破解密码。LC5破解成功后,会显密码信息,如图1-13所示。

0031-1

图1-13 破解账号成功

说明

由于杀毒软件或者防火墙等系统的安全防御,使用PwDump 4.02及以前版本有可能无法正常导出系统账号及其Hash值。有时在执行命令后会出现长时间的无反应现象,如图1-14所示,这种现象表明无法通过Pw Dump导出系统账号和密码。

0031-2

图1-14 导出系统账号和密码失败

对于导出系统账号和密码失败的情况,有两种处理方式:一种是使用其他软件;另一种是停用系统中的安全防护软件,再次使用PwDump导出系统账号和密码。在本案例中推荐使用LSASecretsView获取系统默认的密码。将LSASecretsView软件上传到欲获取账号和口令的计算机中,通过Radmin客户端或者其他方式,在桌面直接运行LSASecretsView,其显示结果中的“DefaultPassword”即为系统默认的管理员账号密码。

在本例中,密码为“48610”,如图1-15所示。通过LSASecretsView获取的密码是系统未更改的默认密码,对更改后的系统密码无能为力。

0032-1

图1-15 通过LSASecretsView获取系统密码

注意

使用LSASecretsView获取系统的密码需要在GUI模式下进行。不过,LSASecretsView可以直接读出系统的默认密码,因此,使用该软件获取肉机的密码时操作一定要迅速,获取密码后立即删除该软件并退出桌面,以免被用户或者管理员发现。