◆嚴比卓 黃 佳

(長沙市中心醫(yī)院 湖南 410000)

關于滲透測試密碼破解的研究

◆嚴比卓 黃 佳

(長沙市中心醫(yī)院 湖南 410000)

密碼破解是進行滲透測試中發(fā)現(xiàn)信息系統(tǒng)漏洞的常用方法。本文分別從破解工具和破解方式兩個方面，對暴力破解和散列還原的破解方式進行研究，并給出了預防這些攻擊的應對方法。

滲透測試；系統(tǒng)漏洞；密碼破解

1 概述

滲透測試是通過模擬惡意黑客的攻擊手法，來對目標網(wǎng)絡系統(tǒng)的安全進行評估的一種方式[1]。在滲透測試的過程中，任何僅通過密碼進行身份鑒別而沒有采用雙因素認證的應用或系統(tǒng)，對其密碼的暴力破解總是可實現(xiàn)的。下面對在滲透測試中進行密碼破解的經(jīng)驗以及所使用的工具和方法進行研究。

2 破解工具

常用密碼破解工具：

（1） Burp Suite(https：//portswigger.net/burp/)： 在線Web 登錄表單破解；

（2） Hydra (https：//www.thc.org/thc-hydra/)： 在線服務破解；

（3） Hashcat (http：//hashcat.net/hashcat/)： 離線Hash破解；

（4）Mimikatz (https：//github.com/gentilkiwi/mimikatz)： Windows密碼還原。

當然，一份優(yōu)秀的字典也是必不可少的，好的字典在密碼猜解過程中往往可以找到系統(tǒng)的突破口，有效提升滲透測試的成功率。

3 破解方式

3.1 暴力破解

3.1.1 Web 表單破解

以單一密碼作為身份認證的 Web 登錄表單，一直是滲透測試中尋求突破的入口，尤其是針對網(wǎng)站管理后臺的暴力猜解。通常網(wǎng)站會采用驗證碼來防止工具的暴力猜解。當一個 Web登錄表單滿足以下條件之一時，即可進行暴力破解：

（1）沒有驗證碼機制；

（2）服務端沒有及時銷毀用戶會話中的驗證碼導致驗證碼復用；

（3）所用驗證碼圖形較為簡單，可被工具輕易識別。

工具Burp Suite 的Intruder 模塊是一個針對Web應用的自動化攻擊工具，其主要應用場景即針對Web登錄表單的暴力猜解，尤其是Burp 1.7版本最高支持999線程，大大提高了暴力破解的速度。通常根據(jù)響應包的長度，HTTP 狀態(tài)碼或響應包中的關鍵字來判斷是否登錄成功。

3.1.2 常用服務爆破

服務爆破工具有 Medusa 和 hydra等，均支持 ftp、 ssh、telnet、pop3、smtp、mysql、mssql、rdp等常用服務。對于僅僅內(nèi)網(wǎng)才能訪問的服務，運維人員的安全意識不足，通常存在各種弱口令以及相同服務使用相同口令的情形。

對服務的爆破適用于內(nèi)網(wǎng)滲透，此時測試人員已經(jīng)擁有一臺內(nèi)網(wǎng)服務器權限或者其上的 Webshell，可以以此服務器或Webshell 作為代理，突破邊界防火墻，對內(nèi)網(wǎng)其他服務進行爆破，一般能夠發(fā)現(xiàn)多個弱口令。

3.2 散列還原

在滲透測試過程中，除了密碼從無到有的過程，還有大量已知密碼Hash需要恢復出明文密碼的情形。這些密碼 Hash一般通過SQL注入，直接訪問數(shù)據(jù)庫，嗅探等方式獲得。

（1）爆破還原

很多網(wǎng)站使用MD5， SHA1等Hash函數(shù)來加密用戶口令，MySQL數(shù)據(jù)庫也使用自定義名為MySQL323或MySQL5的算法加密數(shù)據(jù)庫口令，這些Hash函數(shù)（算法）都是不可逆的。因此，要想從密碼Hash直接恢復出明文密碼是不可能的。但是通常情形下，Hash值是唯一的，從而黑客可以收集大量常用明文密碼，計算出其Hash值，并與已有Hash值進行比對，Hash值匹配相等則視為明文密碼相同。

字典爆破是還原Hash值最合適的方法。該方法通過收集各大網(wǎng)站泄漏的數(shù)據(jù)庫中的明文密碼生成字典，破解一般用戶的密碼成功率很高。Hashcat支持多種已知加密算法，且能夠跨平臺運行，是字典爆破的理想工具。

Hashcat使用方法為：

hashcat.exe m 〈hash類型〉 -a 〈破解方式〉〈hash文件〉〈字典/掩碼〉

掩碼攻擊是另一種暴力破解Hash的方式。通過分析國人使用密碼的習慣，中國人習慣用姓名首字母縮寫加上6位或8位生日、QQ號、手機號等數(shù)字作為密碼，這樣的密碼對使用者來說記憶方便，但是對于攻擊者來說，暴力猜解密碼并不需要遍歷所有可能的明文空間。如果以?l代表一位小寫字母，?d代表一位數(shù)字，如前所述的密碼組成可能是這樣的，第 1-3 位（或第 1-2位）是?l，然后接著6位?d或8～9位?d或11位?d。如此一來，黑客需要窮舉的明文密碼所有值的數(shù)量將大大減少，破解成功率也大大提升。圖1所示是Hash Manager通過掩碼攻擊破解某密碼。

圖1 Hash Manager 攻擊破解

無論是字典爆破還是掩碼攻擊，運算速度都是至關重要的因素。多核服務器的運算速度通常遠超個人 PC。但是如果PC帶有獨立顯卡，Hashcat的GPU版本cudaHashcat/oclhashcat使用顯卡進行運算，效率大大超過CPU版本，甚至可能反超多核服務器。

（2）解密還原

在一些應用場景中，數(shù)據(jù)庫密碼、連接字符串或者通過公開的自定義算法加密，如Weblogic，或者使用DES， AES等對稱加密算法，但是密鑰硬編碼在應用源碼中。當測試人員通過源碼獲知算法與密鑰后，即可將密文恢復為明文密碼。

.NET開發(fā)的應用，密鑰和加密算法可能編譯為*.dll存在于網(wǎng)站根路徑的bin目錄中；Java開發(fā)的應用，密鑰和加密算法多編譯成*.jar或*.class文件存在于網(wǎng)站根路徑的 WEB-INF/lib或WEB-INF/classes目錄中。

在某服務器的MSSQL數(shù)據(jù)庫中發(fā)現(xiàn)如圖2所示的管理員用戶及密碼Hash。

圖2 管理員用戶和密碼Hash

UserPwd疑似MD5 hash， 但無法解開。分析應用源碼得知其采用的是自定義算法，在網(wǎng)站根路徑的 bin目錄下發(fā)現(xiàn)文件BBDCL.dll， 逆向該文件得知應用采用 DES算法，密鑰是"jgheobinhainnnglggzcianjingn"， 如圖3所示：

圖3 逆向計算

本地運行 Visual Studio新建.NET項目，導入BBDCL.dll，調(diào)用dll中的Decrypt方法，成功解密管理員Hash， 如圖4所示。

圖4 解密管理員Hash

（3）內(nèi)存還原

用戶登錄Windows操作系統(tǒng)時，明文密碼經(jīng)過可逆算法加密后存放在Windows認證(lsass.exe)的進程內(nèi)存中。Mimikatz是一款能夠從lsass.exe進程中獲取內(nèi)存，并且獲取明文密碼和NTLM哈希值的工具。運行 Mimikatz需要操作系統(tǒng)管理員或 NT AUTHORITYSYSTEM權限，通常使用DEBUG權限執(zhí)行相關操作，與lsass.exe進程進行交互。其使用過程簡單，將Mimikatz上傳到服務端，運行以下兩條命令，如圖5示。

提升權限：privilege：：debug

獲取密碼：sekurlsa：：logonpasswords

圖5 獲取密碼

具備強大功能的Mimikatz是殺毒軟件的必殺。除了自行編譯Mimikatz源碼外，還可使用下面兩種手段繞過殺毒軟件的查殺。

（1）直接在內(nèi)存中調(diào)用Mimikatz，避免上傳文件到服務器。

通過Invoke-Mimikatz這個PowerShell腳本，利用mimikatz2.0和Invoke- ReflectivePEInjection將Mimikatz源程序完全加載到系統(tǒng)內(nèi)存中運行，這將使得轉(zhuǎn)儲憑證時無需將 Mimikatz 的二進制文件寫到磁盤中。

通過命令行或PowerShell運行下面的代碼：

PowerShell "IEX (New-Object Net.WebClient).Download String('https：//raw.githubusercontent.com/mattifestati-on/Pow-erSploit /master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz DumpCreds"

（2）利用微軟官方工具procdump獲取進程lsass.exe的內(nèi)存轉(zhuǎn)儲文件

procdump作為一款內(nèi)存dump工具，帶有微軟公司官方數(shù)字證書簽名，可繞過殺毒軟件的查殺。上傳procdump.exe到目標系統(tǒng)，運行procdump -accepteula -ma lsass.exe lsass.dmp得到內(nèi)存轉(zhuǎn)儲文件lsass.dmp， 下載lsass.dmp到本地，運行下面的命令獲取明文密碼。

sekurlsa：：minidumplsass.dmp

sekurlsa：：logonpasswords

從 Windows 8.1 和 Windows Server 2012 R2 開始，LM 哈希和“純文本”密碼將不在內(nèi)存中生成。此功能也被“移植”到了較早版本的 Windows 中，Windows 7/8/2008 R2/2012 需要打KB2871997 補丁。為了防止在 lsass.exe 進程中顯示“明文”密碼，下面的注冊表鍵需要被設置為“0”：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecu rityProvidersWDigest “UseLogonCredential”(DWORD)

遇到此種情形時，在命令行中將上述注冊表的值修改為1，然后靜候管理員重新登錄系統(tǒng)即可，此時就可從lsass.exe進程中恢復出管理員密碼。

4 應對方法

（1）及時更新操作系統(tǒng)補丁，安裝部署防病毒，防惡意代碼軟件，WAF等，并對最新安全漏洞保持關注；

（2）操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)之間不要使用相同或相近易被猜測的密碼；

（3）密碼長度應設置到8位以上，包含大小寫字母、數(shù)字、特殊符號至少各兩個，尤其操作系統(tǒng)密碼應設置到大于14位；

（4）Web中間件和數(shù)據(jù)庫等服務等均不要以 NT AUTHORITYSYSTEM (Administrator)或者root權限運行；

（5）在Windows操作系統(tǒng)中，通常無須使用procdump工具，可將procdump.exe添加到殺毒軟件黑名單，并使用組策略等方式監(jiān)測注冊表項HKEY_LOCAL_MACHINESYSTEM CurrentControl SetControlSecurityProvidersWDigest“Us eLogonCredential”的值，若值為1即可認為已經(jīng)遭到了入侵，需要全面排查系統(tǒng)漏洞。

5 結束語

本文對滲透測試過程中的密碼破解進行了一些研究，并給出應對辦法。希望能為讀者提高信息系統(tǒng)安全防范意識和水平帶來幫助。

[1]夏龍，肖明明，馬天遠，王瑾．滲透測試技術在校園網(wǎng)中的應用研究．電腦知識與技術，2016．

[2]段鋼．加密與解密（第三版）[M]．電子工業(yè)出版社，2008．