完全解剖安全帐号管理器(SAM)结构

安全设置不得不需要了解的东西
一、摘要
  
  分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过。不发布的主要原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动)。至于现在发布出来,主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性,对SAM的结构的熟悉,可以帮助安全维护人员做好安全检测(当然也可能让不良企图者利用)。这里只介绍关于SAM的内容,同Security相关的暂时不公开。
  
  二、关于SAM
  
  不要误解了SAM,这不是一个文件sam这么简单。SAM(Security Accounts Manager安全帐户管理器)负责SAM数据库的控制和维护。SAM数据库位于注册表HKLMSAMSAM下,受到ACL保护,可以使用regedt32.exe打开注册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32config目录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。
  
  SAM数据库中包含所有组、帐户的信息,包括密码HASH、帐户的SID等。这些内容在后面详细介绍。分析的系统中文Win2K Adv Server为例。
  
  三、注册表中SAM数据库的结构
  
  展开注册表HKLMSAMSAM:
  
  HKLM---SAM
  |---SAM
  |---Domains
  | |---Account
  | | |---Aliases
  | | | |---Members
  | | | |---Names
  | | |---Groups
  | | | |---00000201
  | | | |---Names
  | | | |---None
  | | |---Users
  | | |---000001F4
  | | |---000001F5
  | | |---000003E8
  | | |---000003E9
  | | |---Names
  | | |---Adaministrator
  | | |---Guest
  | | |---IUSR_REFDOM
  | | |---IWASM_REFDOM
  | |---Builtin
  | |---Aliases
  | | |---00000220
  | | |---00000221
  | | |---00000222
  | | |---00000223
  | | |---Members
  | | | |---S-1-5-21-1214440339-706699826-1708537768
  | | | |---000001F4
  | | | |---000001F5
  | | | |---000003E8
  | | | |---000003E9
  | | |--- Names
  | | |---Administrators
  | | |---Users
  | | |---Guests
  | | |---Power Users
  | |---Groups
  | | |---Names
  | |
  | |---Users
  | |---Names
  |
  |---RXACT
  
  这是机器上注册表中的SAM树。
  
  对照SAM文件中的内容,可以看出,注册表中的SAM树实际上就是SAM文件中一样。不过,SAM文件中是先列RXACT然后在是Domains内容(以此类推),文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看文件内容,从文件的0000h到0006Ch,表示的是SAM数据库所在的位置:systemrootsystem32configsam,然后是一端空白,直到01000h(hbin),从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍,不过会穿插着介绍,有兴趣可以自己去研究。
  
  四、SAM数据库的结构和主要内容:
  
  在整个数据库中,帐号主要内容存在于下面这些位置:
  
  在Domains下就是域(或本机)中的SAM内容,其下有两个分支“Account”和“Builtin”
  
  DomainsAccount是用户帐号内容。
  
  DomainsAccountUsers下就是各个帐号的信息。其下的子键就是各个帐号的SID相对标志符。比如000001F4,每个帐号下面有两个子项,F和V。其中Names下是用户帐号名,每个帐号名只有一个默认的子项,项中类型不是一般的注册表数据类型,而是指向标志这个帐号的SID最后一项(相对标识符),比如其下的Administrator,类型为0x1F4,于是从前面的000001F4就对应着帐户名administrator的内容。由此可见MS帐号搜索的逻辑。
  
  推断一:从注册表中结构来看帐号,如果查询一个帐户名refdom的相关信息,那么,微软从帐号名refdom中
  
  找到其类型0x3EB,然后查找相对标志符(或者SID)为000003EB的帐号内容。所有的API函数(比如NetUserEnum())都是这样来执行的。因此,如果改变refdom帐号中的类型0x3EB为0x1F4,那么这个帐号将被指向类000001F4的帐户。而这个帐号000001F4就是administrator帐户,这样,系统在登录过程中就把refdom帐号完全转为了administrator帐号,帐号refdom所使用的所有内容、信息都是adminisrtator内容,包括密码、权限、桌面、记录、访问时间等等。这个推断应该成立,但是,将意味着两个用户名对应一个用户信息,系统启动上应该会发生错误!
  
  推断一是在以前分析结构的时候即得出了,揭示了登录过程中及之后帐户名和SID关联的关系。
  
  DomainsAccountUsers00001F4,这就是administrator的帐户信息(其他类似)。其中有两个子项V和F。
  
  项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还有一个重要的地方就是这个帐号的SID相对标志符。
  
  以前分析结构的时候没有留意到这个地方,这就是Adam提出的思路。这个地方就是这个SID相对标志符在注册表中一个帐号出现了两遍,一个是在子键000001F4,另一个地方就是子键中项F的内容里面,从48到51的四个字节:F4 01 00 00,这实际上是一个long类型变量,也就是00 00 01 F4。当一个标志出现在两个地方的时候就将发生同步问题。明显,微软犯了这个毛病。两个变量本应该统一标志一个用户帐号,但是微软把两个变量分别发挥各自的作用,却没有同步统一起来。
  
  子键中000001F4用来同用户名administrator对应,方便通过用户查询帐户信息,比如LookupAccountSid()等帐号相关API函数都是通过这个位置来定位用户信息的,这个关联应该是用在了帐户登录以后。而项目V值中的F4 01 00 00是同帐户登录最直接相关联的。
  
  推断二:WIN登录的时候,将从SAM中获得相对标志符,而这个相对标志符的位置是V值中的 F4 01 00 00。但是,帐户信息查询却使用的SAM中子键内容。
  
  推断二的原因假设(假设一):在帐户登录的时候,登录过程获得SAM数据库中用户名使用的帐户记录信息中的相对标志符值(相当于V值中的 F4 01 00 00),帐户登录之后,所有跟帐户相关的之后,这个值不再被API函数使用,而相对标志符由一个数据记录项的字段名代替(相当于子键000001F4)。微软犯了一个同步逻辑问题!
  
  推断二是根据Adam提出而进行的,以前没有这样推断过。:( 推断二如果成立,揭示了在登录过程中帐户SID进行的过程。这就是为什么V中的值都是跟帐户登录记录(登录时间,密码错误次数等)相关的原因。同时,因为F中保存了一个用户名内容,而API函数查询的是这个用户名,所以Adam的克隆办法还是容易露脸,经叮叮补充过后,这个用户名也被恢复原用户名了,从用户名上检测就相对难了。
  
  上面对项目V的介绍可以知道,其中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。
  
  假设二:在帐户的项V中,包含了用户HASH,分别包括是LM2和NT的密码加密散列,Crack时,可分开进行。毕竟LM2简单。
  
  DomainsBuiltin下的内容是同帐户组相关的。其结构同Account下的类似,并且也存在相应的问题,就不再罗嗦了。
  
  SAM数据库保存的文件sam中,可没有注册表中的这么简明的内容,而主要是通过偏移量、长度来定位内容。并且单个帐号的信息都是集中在一块的,而不是象注册表形式这样分隔开(名字的一个键而内容在另外一个键)。
  
  sam文件中,可根据这些下面这些分隔符来定位数据含义:
  
  nk (6E 6B) 键或者子键名
  vk (76 6B) 相应的值
  if (6C 66) 子键列表
  sk (73 6B) 权限
  
  五、关于SAM数据库分析的结论:
  
  SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏,造成系统启动问题,虽然可以通过删除SAM文件来让启动恢复。如果能够熟悉SAM的结构,你将发现,可以对用户名与用户名之间、用户组与用户组之间进行调换,以及帐户和帐户组伪造,完全打破微软的帐户格局。并且非常隐蔽,让帐户相关的API函数摸不着头脑。虽然微软处理帐号信息中犯了不少逻辑问题,但是安全帐号数据库并非不安全,所有操作都必须能完全拥有管理员权限。
  
  当隐蔽后门的办法被提出来之后,一定会让不少“黑客”利用,管理员也应该多多熟悉相关技术,作好安全检测。

(0)

相关推荐

  • 完全解剖安全帐号管理器(SAM)结构

    安全设置不得不需要了解的东西一.摘要 分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过.不发布的主要原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动).至于现在发布出来,主要是因为Adam和叮叮的<克隆管理员帐号>种

  • Serv-U 批量帐号管理及申请(Access+Asp) 图文方法

    1.首先下载Asp程序,在下载中包含Serv-U所需要的数据库,名为Serv#U.mdb.2.建立系统数据源:ftp,通过ODBC进行数据库连接,连接到Serv#U.mdb.步骤如图 3.成功建立ODBC后,打开Serv-U软件,建立FTP域.在步骤4时注意选择Store in ODBC database 4.打开Serv-U安装目录下的ServUDaemon.ini文件,做以下操作:(1)用下面的代码覆盖原来的ODBCSource.ODBCTables.ODBCColumns---------

  • 数据库的用户帐号管理基础知识

    MySQL管理员应该知道怎样通过指定哪些用户可连接到服务器.从哪里进行连接,以及在连接时做什么,来设置MySQL用户账号.MySQL3.22.11引入了两个更容易进行这项工作的语句:GRANT 语句创建MySQL用户并指定其权限,REVOKE 语句删除权限.这两个语句充当mysql数据库中的授权表的前端,并提供直接操纵这些表内容的可选择的方法.GRANT 和REVOKE 语句影响以下四个表:  授权表 内容 user 可连接到服务器的用户和他们拥有的任何全局特权 db 数据库级的特权 table

  • 手把手教你使用正则表达式验证银行帐号

    目录 前言 例子: 使用正则表达式验证帐号的方法 总结 前言 银行帐号是在任何特定银行开设账户后分配给账户持有人的唯一编号.从技术上讲,我们可以将银行帐号视为主键.银行帐号使我们能够进行借记.贷记和其他交易.根据 RBI 指南,银行帐号具有独特的结构.Account Number的结构如下: 银行帐号仅以数字形式书写.银行帐号长度从 9 位到 18 位不等.不允许有空格.不允许有特殊字符.它包含从 0 到 9 的数字. 例子: 输入:str = ”635802010014976” 输出:True

  • 如何通过ASP管理NT帐号

    '============================================================= '       感谢您使用ASP001工作室开发的实用函数程序 '               HTTP://WWW.ASP001.NET '=============================================================     'ASP001工作室为您提供订制程序开发.企业互联网拓展服务 'QQ:1974229 'E-Mail

  • 微信公众帐号开发-自定义菜单的创建及菜单事件响应的实例

    微信开发公众平台自定义菜单需要花钱认证才能实现,不想花钱只能玩测试账号了,不过这并不影响开发.我的开发都是基于柳峰老师的微信公众平台应用开发做的. 只要我们使用公众平台测试账号就可以开发自定义菜单了,比较方便,测试账号开放了很多接口,很方便. 在开发自定义菜单的时候可以参考微信公众平台开发者文档的自定义菜单创建. 一.自定义菜单 1.自定义菜单最多包括3个一级菜单,每个一级菜单最多包含5个二级菜单. 2.一级菜单最多4个汉字,二级菜单最多7个汉字,多出来的部分将会以"..."代替. 3

  • IIS网站独立帐号设置教程确保服务器安全

    被人黑过站的同学,都应该有这样的经历.自己的服务器某个站被人入侵后,其它的网站也相继遭殃,这是啥情况呢?百分之九十是IIS网站帐号权限过大,服务器上的所有网站共用一个IIS帐号所致,接来下新手如何设置IIS网站帐号. 1.开始-我的电脑-管理点击进去 2.找到本地用户和组,然后用户,新建用户 3.新建用户,用户名.密码.随便写,这些你得住,待会用得上的.用户不能更改密码和密码永不过期(勾上) 4.找到刚新建的用户,点击属性,接下来,我们要降低用户的权限 5.新建 的用户,默认有Users权限,这

  • SQL2000中的默认sa帐号的修改与删除方法

    现在用MSSQL的地方太多了,有很多做技术的个人电脑上也安装SQL专业版,因为它用的多,但用的人都知道,SQL有个超级用户sa,此用户默认情况下,它指派给固定服务器角色 sysadmin,并不能进行更改.一般懂点安全问题的技术人员都会把这个密码修改掉,但修改再复杂的密码都不是绝对安全的,一些暴力破解软件,菜鸟都会用.那怎么办呢,最好的办法就是删除或改名,下面提供方法. 为了加强安全把默认的sa用户更改掉,安全性会有大幅提升. Alter LOGIN sa DISABLE Alter LOGIN

  • SQL2000中改名和删除默认sa帐号的最安全方法

    这个sa一般情况下是既不可以更改名称,也不可以删除,呵呵,有点鸡肋的味道,弃置可惜,食之无味.在偶装上 sql2000之后,感觉总之怪怪的,放着这个后门在,始终都不放心,担心有一天被人破出密码,那偶的电脑不就完拉,偶在黑道混拉那么多天,要是传出去,有损颜面啊.可能你回说设个强壮点的密码,这个办法是可行,可不是长久之记,所谓斩草要除根,要是把sa给删拉就不用担心那些"黑客"暴力破解拉. 呵呵,前面说拉那么半天废话,可能你已经看的不耐烦拉,好,这就说道正题,大家跟着我来一起把sa给大卸八块

  • 一个隐蔽克隆帐号的方法

    文章作者:a11yesno 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 漏洞发现日期 05年某月 注:因为最近没怎么关注网络安全 凭记忆中貌似没人说过这个方法 所以放出来 不要拍砖我 thx! 原理很简单的啊 sam的 FV键值吧 重点如何躲过检测 一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵 步骤 1.net user allyesno freexploit /add&net localgroup administrat

随机推荐