返回
系统密码获取工具--winlogonhack

系统密码获取工具--winlogonhack

ID:6108830

大小:214.00 KB

页数:6页

时间:2018-01-03

系统密码获取工具--winlogonhack_第1页
系统密码获取工具--winlogonhack_第2页
系统密码获取工具--winlogonhack_第3页
系统密码获取工具--winlogonhack_第4页
系统密码获取工具--winlogonhack_第5页
资源描述:

《系统密码获取工具--winlogonhack》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、系统密码获取工具--winlogonhack一、远程终端密码泄露分析1.最新远程终端技术APP对于大型企业来说,一般都部署有远程终端,微软最新的服务器操作系统Windows2008Server中更是重点打造远程终端。终端服务器远程APP是WindowsServer2008中新的远程应用演示方法。在远程连接的一些参数上进行了调整,增加了一些新的功能,据说性能也有较大提高!2.远程终端密码泄露分析在大型网络中,由于网络环境复杂,因此服务器之间往往通过远程终端来维护和管理,这种管理在方向不太固定,多是发散。有的可能是通过一台主机登录多台主机,也有的可能是通过多台主机来登录同

2、一台主机,也可能是混乱交叉登录,黑客在入侵网络某一台主机后,肯定会想办法收集网络内部或者跟外部独立主机之间的远程终端登录用户名称和密码。收集方法不外乎三种:(1)使用GetHashes、Pwdump等工具获取系统的Hash密码值,然后通过LC5以及彩虹表来进行破解,破解成功后得到系统密码,这些密码极有可能是远程终端的密码。(2)在被控制计算机上安装键盘记录,通过键盘记录来获取用户在登录3389远程终端过程所输入的用户名和密码。这种方法有一定的限制,键盘记录在远程终端窗口最大化时有可能无法记录远程终端登录密码。(3)使用WinlogonHacK工具软件截取远程登录时所输

3、入的正确密码。这也是本文要重点介绍的部分。当然除了以上三种外,还有一些其它的泄露途径。二、WinlogonHack工具软件截取密码原理1.Gina.dll与Msgina.dllGina.dll在NT/2000中交互式的登陆支持是由WinLogon调用Gina.dll实现的,Gina.dll提供了一个交互式的界面为用户登陆提供认证请求。WinLogon会和Gina.dll进行交互,缺省是msgina.DLL(在System32目录下)。微软同时也为我们提供了接口,我们可以自己编写Gina.dll来代替Msgina.dll。不知道什么原因,微软的Gina.dll在Wind

4、owsXP以及后续版本中都不再出现,原来的Gina.dll改为Msgina.dll(加了ms表示是微软的,嘿嘿!)。Msgina.dll在WindowsXP系统中默认大小为967,680字节(945K),在Windows2003中其大小为1,180,672字节(1153K),如果不是这个大小,估计就有问题了。2.Msgina.dll文件被损坏和修改将导致严重错误在DLL知识库(http://www.dofile.com/dlllibrary/msgina/)中是这样描述的:msgina.dll是Windows登陆认证策略相关模块,该模块用于完成所有用户登陆和验证功能,

5、如果系统中的这个文件被修改或者破坏,将导致系统无法使用3389进行登录,如图1所示,这个系统的Msgina.dll文件就被破坏了,从而导致用户无法远程登录3389终端服务器。图1Msgina.dll被损坏或者被修改导致无法远程登录远程终端3.WinlogonHack截取密码原理WinlogonHack通过挂钩系统中的msgina.dll的WlxLoggedOutSAS函数,记录登录账户密码!WinLogon初始化时会创建3个桌面:(1)Winlogon桌面:主要显示Windows安全等界面,如你按下“CTRL+ALT+DEL”快捷看所出现的登陆的界面等。(2)应用程序

6、桌面:我们平时见到的那个有我的电脑的界面。(3)屏幕保护桌面:屏幕保护显示界面。在默认情况下,Gina.dll或者Msgina.dll显示登陆对话框,用户输入用户名及密码。所以要获得用户名和密码,则可以写一个新的Gina.DLL或者Msgina.dll,其中提供接口调用msgina.dll的函数是WlxLoggedOutSAS。启动就用winlogon通知包,当有3389,连上服务器时。新创建的winlogon.exe会在登录前加载,注册了“Startup”的dll,Hook了函数,登录成功后,记录密码到boot.dat文件,并取消Hook。退出3389后,dll文件

7、即可删除。在实现上只要msgina.dll中WlxLoggedOutSAS函数的前五个字节:movedi,edipushebpmovebp,esp关于WinlogonHack工具如何具体实现3389远程终端密码的截取,请查看Winlogonhack的源代码以及程序(http://www.antian365.com/bbs/forumdisplay.php?fid=180)。三、使用WinlogonHack获取密码实例在WinlogonHack之前有一个Gina木马主要用来截取Windows2000下的密码,WinlogonHack主要用于截取Wind

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。