Windows的登錄密碼是儲存在系統本地的SAM文件中的,在登錄Windows的時候,系統會將用戶輸入的密碼與SAM文件中的密碼進行對比,若是相同,則認證成功。html
SAM文件是位於%SystemRoot%\system32\config\目錄下的,用於儲存本地全部用戶的憑證信息,可是這並不表明着你能夠隨意去查看系統密碼。sass
Windows自己是不會存儲明文密碼的,在SAM文件中所儲存的是密碼的hash值,在登錄對比的時候,也是先將用戶的輸入轉換爲hash值,才進行對比的。安全
目前在Windows中所使用的密碼hash被稱爲NTLM hash,全稱爲:NT LAN Manager,它是一個由數字和字母組成的32位的值,是通過hex、Unicode、MD4三層加密後獲得的。網絡
因此在登錄的時候,他總體的流程是這樣的工具
注:winlogon是用來管理用戶登錄和登出的,lsass是用於本地安全和登錄策略的學習
說完了NTLM hash再說一下LM hash,LM hash是NTLM hash的前身,它自己是很是脆弱的,對於它的生成規則就很少說了,用網上的一個解釋來讓你們看看。加密
經過這個你們也能很明確的看出來,進行LM hash加密的時候,其中的key值是一個固定值KGS!@#$%,這就意味着它被暴力破解出來的可能性是很是大的,並且經過LM hash的生成機制,還能很清楚的看出來若是密碼是否大於等於7位,由於當位數不足時,後面會用0來補全,因此當咱們的密碼位數小於7時,最終生成的LM hash的末尾字符是一個恆定不變的值:AA-D3-B4-35-B5-14-04-EE。code
目前大多數的Windows都是使用的NTLMhash的,在Windows Vista和WindowsServer 2008之前的系統還會使用LM hashhtm
** 自WindowsVista和Windows Server 2008開始,Windows取消LM hash。 **blog
也正是由於密碼都儲存在SAM文件中,因此纔會有了經過各類方法在線或者離線提取SAM文件中的hash值,固然SAM文件也是不容許直接拷貝和訪問的,須要經過一些其餘的辦法來提取,最後經過彩虹表等其餘的一些工具進行破解便可獲得明文密碼,或者經過Mimikatz讀取lsass.exe進程能得到已登陸用戶的NTLM hash,這部份內容在網絡上也已經有了至關多的資料,想深刻了解能夠本身去網上查一查便可。
文章首發公衆號:無意的夢囈(wuxinmengyi)
這是一個記錄紅隊學習、信安筆記,我的成長的公衆號
掃碼關注便可
原文出處:https://www.cnblogs.com/wuxinmengyi/p/11599273.html