1.7 使用Saminside獲取系統密碼

在通過SQL注入等方式獲取網站的Webshell后，就需要利用系統各種漏洞進行提權，提權成功后通過遠程終端登入系統，此時為了長期控制或者進一步滲透網絡，就需要獲取系統正常用戶的密碼。獲取系統密碼哈希值的軟件很多，在本小節中主要介紹如何通過Saminside來獲取系統的Hash以及結合彩虹表快速破解操作系統用戶密碼。

1.7.1 下載和使用Saminside

Saminside的官方下載地址為：http://www.insidepro.com/download/Saminside.zip，目前最新版本為2.6.5，官方提供的是試用版本，有一些高級功能不能使用，但并不影響獲取系統密碼哈希值，Saminside可以獲取包括Windows 2008 Server以下操作系統的用戶密碼哈希值，在獲取這些哈希值后可以通過彩虹表或者字典等來進行破解，進而獲取系統的密碼。

Saminside不需要安裝，將下載的Saminside.zip解壓縮到本地磁盤即可使用。

1.7.2 使用Scheduler導入本地用戶的Hash值

直接運行Saminside，如圖1-48所示，單擊第三個小圖標，然后選擇“Import Local Users via Scheduler”，將本地用戶的Hash導出。雖然在Saminside中還提供了從LSASS導出本地用戶，但該方法在一些操作系統中容易出錯，這兩個方法均可使用。

1.7.3 查看導入的Hash值

使用Saminside導入本地用戶的哈希值，必須具有管理員權限，在有些情況下，管理員會對磁盤進行權限限制，這個時候需要為Saminside授權，然后才能獲取系統用戶的Hash值，如圖1-49所示，一共獲取了4個用戶的Hash值，該值按照User、RID、LM-Password、NT-Password、LM-Hash、NT-Hash和Description順序進行顯示。如果在LM-Password和NT-Password顯示為Disabled，則表示該賬戶是禁用賬號。超過14位的密碼，在LM-Password中會以全0顯示，在老版本中以AA3D開頭顯示的也表示密碼位數超過14位，例如“simeon:1005:AAD3B435B51404EEAAD3B435B51404EE:5E9C2FAAE669F5D06F33014E33 AC2CFC:::”其密碼就是超過14位的。

1.7.4 導出系統用戶的Hash值

單擊“File”-“Export Users to PWDUMP File”將獲取系統用戶的密碼哈希值導出為一個文件，其導出文件的內容如圖1-50所示，然后將該文件再次導入到ophcrack中進行破解。Saminside本身也能破解系統Hash值，不過破解速度和效果不如ophcrack，一些簡單的密碼Saminside直接顯示其密碼，感興趣的朋友可以直接去嘗試使用Saminside破解系統Hash值。

1.7.5 設置Saminside破解方式

如圖1-51所示，默認選擇LM-Hashes attack破解方式，如果用戶密碼超過14位，或者LM-Hashes中顯示的全是0，則可以選擇NT-Hashes attack進行破解。然后還需要選擇字典破解、暴力破解、掩碼破解以及彩虹表破解。

如果是選擇采用字典破解，則需要在設置中選擇“options”，在“Dictionary attack”中設置字典，將本地字典文件添加到字典文件列表中，如圖1-52所示。可以設置多個字典文件進行破解。Saminside幫助中提供了在線字典下載，大概有2GB字典可供下載。

1.7.6 執行破解

設置好破解有關選項后，單擊其綠色小三角形圖標進行破解，如圖1-53所示，如果密碼在字典文件中，則很快就會給出結果。

1.7.7 使用Ophcrack破解用戶密碼值

另外一種快捷的破解用戶密碼的方式就是將導出的文件導入到到Ophcrack進行破解，運行Ophcrack，單擊“Load”-“PWDUMP file”選擇前面使用Saminside導出的文件，接著單擊“Crack”按鈕進行破解，如圖1-54所示，一共花了2分7秒鐘便將該系統的密碼成功破解出來。有關Ophcrack的詳細使用方法請參考本書后面的利用Ophcrack破解系統密碼的章節。