介绍
当攻击者获取服务器权限后,通常会采用一些后门技术来维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了
目的
由于攻击可能被发现,被发现后可能会被将之前拿到的的webshell清除,导致目标丢失,所以需要留下后门来维持权限,达到持续控制的目的
获取系统登陆账号密码
windows获取系统登陆账号密码
windows系统账号密码存储位置:
C:\Windows\System32\config\SAM
windows密码验证原理: 在Windows系统中,对用户账户的安全管理采用了SAM(Security Account Manager,安全账号管理)机制,用户账户以及密码经过Hash加密之后,都保存在SAM数据库中。 SAM数据库保存在C:\WINDOWS\system32\config\SAM文件中,当用户登录系统时,首先就要与SAM文件中存放的账户信息进行对比,验证通过方可登录。系统对SAM文件提供了保护机制,无法将其复制或是删除,也无法直接读取其中的内容。
SAM文件加密方式: 1.LM加密:Windows2003之前,包括win2003系统 2.NTLM加密:Windows 2003之后的系统 LM和NTLM都是基于Hash加密,但是它们的安全机制和安全强度存在差别,LM口令散列的安全性相对比较差。尽管现在已很少有人使用Windows2k之前的老版本系统,但为了保持向后兼容性,默认情况下,系统仍会将用户密码分别用这两种机制加密后存放在SAM数据库里。区别: LM加密,密码最多14位,如果口令不足14位,不足的部分用0补齐,把所有的字符转变为大写,然后分成两组,每组7位,分别加密,然后拼接在一起,就是最终的LM散列,本质是DES加密。 NTLM加密,先将用户口令转变为unicode编码,再进行标准MD4单向哈希加密。 LM加密安全性远低于NTLM加密,因为NTLM加密它允许使用更长的密码,允许有大小写的不同,而且也无须把密码分割成更小、更易于被破解的块。所以在一个纯NTLM环境中,应该关闭Lan Manager加密方式
