用GetHashes软件获取Windows系统Hash密码值

核心提示： "123456" -> 310032003300340035003600从ASCII串转换成Unicode串时，使用little-endian序，用GetHashes软件获取Windows系统Hash密码值(4)，微软在设计整个SMB协议时就没考虑过big-end

"123456" -> 310032003300340035003600

从ASCII串转换成Unicode串时，使用little-endian序，微软在设计整个SMB协议时就没考虑过big-endian序，ntoh*()、hton*()函数不宜用在SMB报文解码中。0x80之前的标准ASCII码转换成Unicode码，就是简单地从0x??变成0x00??。此类标准ASCII串按little-endian序转换成Unicode串，就是简单地在原有每个字节之后添加0x00。对所获取的Unicode串进行标准MD4单向哈希，无论数据源有多少字节，MD4固定产生128-bit的哈希值，

16字节310032003300340035003600 -进行标准MD4单向哈希-> 32ED87BDB5FDC5E9CBA88547376818D4

就得到了最后的NTLM Hash

NTLM Hash: 32ED87BDB5FDC5E9CBA88547376818D4

与LM Hash算法相比，明文口令大小写敏感，无法根据NTLM Hash判断原始明文口令是否小于8字节，摆脱了魔术字符串"KGS!@#$%"。MD4是真正的单向哈希函数，穷举作为数据源出现的明文，难度较大。

三、使用GetHashes获取Windows系统的Hash密码值

GetHashes目前最高版本是v1.4，它是InsidePro公司早期的一款Hash密码获取软件，其公司地址为：http://www.InsidePro.com，该公司还有“SAMInside”、“PasswordsPro”以及“Extreme GPU Bruteforcer”三款密码破解软件。

1．GetHashes命令使用格式

GetHashes [System key file] Or GetHashes $Local

一般使用“GetHashes $Local”来获取系统的Hash密码值，该命令仅在system权限下才能执行成功。一般根据个人爱好，可以将“GetHashes.exe”工具软件命名为其它名称，例如在后面案例中，就将其命名为“getpw”。