《網(wǎng)絡(luò)攻防技術(shù)（第2版）》 —3.3　針對(duì)口令存儲(chǔ)的攻擊

3.3　針對(duì)口令存儲(chǔ)的攻擊

通常，系統(tǒng)為了驗(yàn)證的需要，都會(huì)將口令以明文或者密文的形式存放在系統(tǒng)中。對(duì)于攻擊者來(lái)說(shuō)，如果能夠遠(yuǎn)程控制或者本地操作目標(biāo)主機(jī)，那么通過(guò)一些技術(shù)手段就可以獲取到這些口令的明文，這就是針對(duì)口令存儲(chǔ)的攻擊。

3.3.1　針對(duì)口令存儲(chǔ)的攻擊方法

不同系統(tǒng)的口令存儲(chǔ)位置也各有不同，有些存放在文件中，比如Linux系統(tǒng)的Shadow文件，Windows系統(tǒng)的SAM文件；有些存放在數(shù)據(jù)庫(kù)中，比如Oracle數(shù)據(jù)庫(kù)賬號(hào)口令；有些則存放在注冊(cè)表中，比如Windows平臺(tái)下的許多應(yīng)用軟件。另外，在身份驗(yàn)證程序運(yùn)行的時(shí)候，還會(huì)將口令或口令的密文加載到內(nèi)存中，方便進(jìn)行比較。針對(duì)這幾種情況，口令攻擊可以包括針對(duì)緩存口令的攻擊、口令文件提取以及其他存儲(chǔ)位置的口令攻擊方法。

1.針對(duì)緩存口令的攻擊

在一個(gè)系統(tǒng)中，不論口令存儲(chǔ)在什么位置，在進(jìn)行用戶的身份驗(yàn)證時(shí)，總要加載到內(nèi)存中，這就存在口令泄漏的風(fēng)險(xiǎn)。著名的PWDump工具就是利用自身的內(nèi)核文件系統(tǒng)驅(qū)動(dòng)程序搜索系統(tǒng)內(nèi)存，直接從硬盤中導(dǎo)出SYSTEM和SAM密文，并解密LM（LAN Manager，局域網(wǎng)管理）與NTLM（NT LAM Manager，NT局域網(wǎng)管理）的散列值密文，獲取Windows系統(tǒng)的用戶口令散列值甚至口令本身，并存儲(chǔ)成PWDump系統(tǒng)支持的文件格式。圖3-10顯示了PWDump的執(zhí)行情況，從圖中可以看到Administrator賬號(hào)口令的NTLM 散列（Windows 7系統(tǒng)默認(rèn)存儲(chǔ)NTLM 散列值）。

圖3-10　PWDump獲取系統(tǒng)賬號(hào)和口令

除了Windows系統(tǒng)本身，很多應(yīng)用程序在處理用戶口令時(shí)，也可能存在口令泄露的問(wèn)題。

此外，一些系統(tǒng)為了使用戶的操作更加方便快捷，提供了口令記憶的功能，攻擊者能夠通過(guò)搜索內(nèi)存空間的方法獲得這些緩存的口令。比如，用戶通過(guò)網(wǎng)頁(yè)訪問(wèn)郵箱時(shí)，Windows系統(tǒng)會(huì)自動(dòng)顯示用戶以前曾經(jīng)輸入過(guò)的用戶名和口令，盡管口令在屏幕上顯示的是“*”號(hào)，但真正的口令已經(jīng)存在于內(nèi)存中，攻擊者通過(guò)搜索內(nèi)存，就可以獲得明文口令。

2.針對(duì)口令文件的攻擊

文件是口令存儲(chǔ)的一種常見(jiàn)形式。比如，Windows系統(tǒng)的賬號(hào)和口令存放在SAM文件中，Linux系統(tǒng)的賬號(hào)和口令存放在Shadow文件中。盡管這些口令文件都以密文形式存放，但是一旦攻擊者獲得了這些口令文件，就可以通過(guò)離線暴力破解得到賬號(hào)和口令信息，而且往往破解成功率很高。

需要注冊(cè)的應(yīng)用（如郵件、游戲、電商等）通常用數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)用戶賬戶和口令的哈希值，一旦攻擊者入侵網(wǎng)站，存儲(chǔ)用戶賬戶和口令的文件就可能被竊取。通過(guò)對(duì)口令文件的攻擊，就可以大量還原出用戶的賬戶和口令明文。

還有一些郵箱賬號(hào)和口令以文件形式存儲(chǔ)在本地，如Foxmail（這是一個(gè)郵件收發(fā)軟件）的用戶郵箱口令存放在相應(yīng)賬號(hào)目錄下的account.stg文件中，攻擊者一旦獲取該文件就可通過(guò)工具進(jìn)行破解。

3. 口令的其他存儲(chǔ)位置

除了存儲(chǔ)在緩存和文件中以外，口令還有一些其他的存放方式。

注冊(cè)表是Windows系統(tǒng)特有的對(duì)象，很多應(yīng)用程序會(huì)將口令存放在注冊(cè)表中。Windows系統(tǒng)本身的賬號(hào)和口令存放在注冊(cè)表鍵值HKEY_LOCAL_MACHINE\SAM下。

有的人喜歡把IE瀏覽器的“分級(jí)審查”功能設(shè)置為開啟并設(shè)置口令（方法為選擇“Internet選項(xiàng)→內(nèi)容→分級(jí)審查”）。這樣，在顯示有ActiveX的頁(yè)面時(shí)，就會(huì)出現(xiàn)“分級(jí)審查不允許查看”的提示信息，然后彈出口令對(duì)話框，要求用戶輸入監(jiān)護(hù)人口令。如果口令不對(duì)，則停止瀏覽。這個(gè)口令存放在注冊(cè)表的如下鍵值中，以密文的形式存放：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \Ratings\Key

刪除該鍵值，則會(huì)取消分級(jí)審查口令，也可以破解該鍵值中的密文還原出明文口令。

除了注冊(cè)表，有一些應(yīng)用程序會(huì)把口令存放在硬盤的某一個(gè)位置。比如還原精靈，它是一個(gè)磁盤恢復(fù)軟件，用戶在還原磁盤狀態(tài)時(shí)，需要輸入口令以驗(yàn)證其身份，這個(gè)口令就被存放在硬盤的某一個(gè)扇區(qū)中，由于還原精靈攔截了所有的磁盤訪問(wèn)操作，因此普通用戶無(wú)法訪問(wèn)存放口令的扇區(qū)，從而保證了口令的安全性。如果攻擊者能夠繞過(guò)還原精靈的磁盤過(guò)濾驅(qū)動(dòng)，就能夠獲得用戶口令了。主板的BIOS口令存放位置與此類似，只不過(guò)不是存放在硬盤上，而是存放在CMOS中，并且是以加密的方式存放，攻擊者通過(guò)讀取CMOS就能夠獲取口令的密文，然后再通過(guò)離線暴力破解。

在開放的系統(tǒng)環(huán)境下，由于沒(méi)有專用的安全硬件來(lái)保護(hù)，口令的存儲(chǔ)和加密沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，因此無(wú)法從根本上來(lái)保證口令的安全。

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。