安全攻防实战：使用winlogonhack获取系统密码

核心提示： 图2 远程安装WinlogonHack软件截取3389登录密码2.查看密码记录可以直接打开boot.dat文件查看，也可以运行“ReadLog.bat”脚本移动密码文件到当前目录查中查看，安全攻防实战：使用winlogonhack获取系统密码(4)，在本例中的操作系

图2 远程安装WinlogonHack软件截取3389登录密码

2.查看密码记录

可以直接打开boot.dat文件查看，也可以运行“ReadLog.bat”脚本移动密码文件到当前目录查中查看。在本例中的操作系统是Windows 2003 Server，直接通过Radmin的telnet，然后先执行“dir boot.dat /a”命令，查看是否有人远程进行登录，如图3所示，boot.dat大小为5762字节，有货！使用“type boot.dat”可以看到记录的登录时间、用户、域名、密码以及旧密码。出现两个密码主要是用于记录用户更改了密码的情况下。

图3 查看密码记录boot.dat文件

3.卸载WinlogonHack

执行“Uninstall.bat”即可自动卸载该程序，如果“%systemroot%system32wminotify.dll”文件未能删除，可以重启后删除！

四、攻击与防范方法探讨

1.攻击方法探讨

（1）定制化开发

WinlogonHack代码是开源的，因此入侵者可以定制它，即在“lstrcat( LogPath , "oot.dat");”代码中将boot.dat换成其它一个文件，执行Winlogonhack后，一般人员很难发觉。入侵者还可以在此基础上增加一个邮件发送功能，将记录下来的3389远程终端用户名和密码发送到指定的邮箱，笔者在安全加固过程中就曾经碰到过具有这种功能的3389密码截取木马软件。