安全攻防实战:使用winlogonhack获取系统密码
2008-12-16 13:42:15 来源:WEB开发网核心提示: 图2 远程安装WinlogonHack软件截取3389登录密码2.查看密码记录可以直接打开boot.dat文件查看,也可以运行“ReadLog.bat”脚本移动密码文件到当前目录查中查看,安全攻防实战:使用winlogonhack获取系统密码(4),在本例中的操作系
图2 远程安装WinlogonHack软件截取3389登录密码
2.查看密码记录
可以直接打开boot.dat文件查看,也可以运行“ReadLog.bat”脚本移动密码文件到当前目录查中查看。在本例中的操作系统是Windows 2003 Server,直接通过Radmin的telnet,然后先执行“dir boot.dat /a”命令,查看是否有人远程进行登录,如图3所示,boot.dat大小为5762字节,有货!使用“type boot.dat”可以看到记录的登录时间、用户、域名、密码以及旧密码。出现两个密码主要是用于记录用户更改了密码的情况下。
图3 查看密码记录boot.dat文件
3.卸载WinlogonHack
执行“Uninstall.bat”即可自动卸载该程序,如果“%systemroot%system32wminotify.dll”文件未能删除,可以重启后删除!
四、攻击与防范方法探讨
1.攻击方法探讨
(1)定制化开发
WinlogonHack代码是开源的,因此入侵者可以定制它,即在“lstrcat( LogPath , "oot.dat");”代码中将boot.dat换成其它一个文件,执行Winlogonhack后,一般人员很难发觉。入侵者还可以在此基础上增加一个邮件发送功能,将记录下来的3389远程终端用户名和密码发送到指定的邮箱,笔者在安全加固过程中就曾经碰到过具有这种功能的3389密码截取木马软件。
[]
- ››安全第一 Windows 7五件应该知道的事
- ››实战案例分析:高质量软文对网站百度排名的影响
- ››实战经验浅谈网站搬家后的优化工作
- ››安全连接Internet-让ISA Server 2006做为企业中的...
- ››实战Active Directory站点部署与管理,Active Dir...
- ››实战操作主机角色转移,Active Directory系列之十...
- ››安全技巧 保护IP地址的五种超级方法
- ››实战经验:巧用微博推广淘宝网店
- ››实战iPhone GPS定位系统
- ››安全专家称iPhone漏洞可泄露用户信息
- ››安全意识淡薄成反垃圾邮件“隐形炸弹”
- ››安全机构:Windows用户每5天安装一个补丁
更多精彩
赞助商链接