1.7 使用Saminside获取系统密码

在通过SQL注入等方式获取网站的Webshell后，就需要利用系统各种漏洞进行提权，提权成功后通过远程终端登入系统，此时为了长期控制或者进一步渗透网络，就需要获取系统正常用户的密码。获取系统密码哈希值的软件很多，在本小节中主要介绍如何通过Saminside来获取系统的Hash以及结合彩虹表快速破解操作系统用户密码。

1.7.1 下载和使用Saminside

Saminside的官方下载地址为：http://www.insidepro.com/download/Saminside.zip，目前最新版本为2.6.5，官方提供的是试用版本，有一些高级功能不能使用，但并不影响获取系统密码哈希值，Saminside可以获取包括Windows 2008 Server以下操作系统的用户密码哈希值，在获取这些哈希值后可以通过彩虹表或者字典等来进行破解，进而获取系统的密码。

Saminside不需要安装，将下载的Saminside.zip解压缩到本地磁盘即可使用。

1.7.2 使用Scheduler导入本地用户的Hash值

直接运行Saminside，如图1-48所示，单击第三个小图标，然后选择“Import Local Users via Scheduler”，将本地用户的Hash导出。虽然在Saminside中还提供了从LSASS导出本地用户，但该方法在一些操作系统中容易出错，这两个方法均可使用。

1.7.3 查看导入的Hash值

使用Saminside导入本地用户的哈希值，必须具有管理员权限，在有些情况下，管理员会对磁盘进行权限限制，这个时候需要为Saminside授权，然后才能获取系统用户的Hash值，如图1-49所示，一共获取了4个用户的Hash值，该值按照User、RID、LM-Password、NT-Password、LM-Hash、NT-Hash和Description顺序进行显示。如果在LM-Password和NT-Password显示为Disabled，则表示该账户是禁用账号。超过14位的密码，在LM-Password中会以全0显示，在老版本中以AA3D开头显示的也表示密码位数超过14位，例如“simeon:1005:AAD3B435B51404EEAAD3B435B51404EE:5E9C2FAAE669F5D06F33014E33 AC2CFC:::”其密码就是超过14位的。

1.7.4 导出系统用户的Hash值

单击“File”-“Export Users to PWDUMP File”将获取系统用户的密码哈希值导出为一个文件，其导出文件的内容如图1-50所示，然后将该文件再次导入到ophcrack中进行破解。Saminside本身也能破解系统Hash值，不过破解速度和效果不如ophcrack，一些简单的密码Saminside直接显示其密码，感兴趣的朋友可以直接去尝试使用Saminside破解系统Hash值。

1.7.5 设置Saminside破解方式

如图1-51所示，默认选择LM-Hashes attack破解方式，如果用户密码超过14位，或者LM-Hashes中显示的全是0，则可以选择NT-Hashes attack进行破解。然后还需要选择字典破解、暴力破解、掩码破解以及彩虹表破解。

如果是选择采用字典破解，则需要在设置中选择“options”，在“Dictionary attack”中设置字典，将本地字典文件添加到字典文件列表中，如图1-52所示。可以设置多个字典文件进行破解。Saminside帮助中提供了在线字典下载，大概有2GB字典可供下载。

1.7.6 执行破解

设置好破解有关选项后，单击其绿色小三角形图标进行破解，如图1-53所示，如果密码在字典文件中，则很快就会给出结果。

1.7.7 使用Ophcrack破解用户密码值

另外一种快捷的破解用户密码的方式就是将导出的文件导入到到Ophcrack进行破解，运行Ophcrack，单击“Load”-“PWDUMP file”选择前面使用Saminside导出的文件，接着单击“Crack”按钮进行破解，如图1-54所示，一共花了2分7秒钟便将该系统的密码成功破解出来。有关Ophcrack的详细使用方法请参考本书后面的利用Ophcrack破解系统密码的章节。