密碼安全越來越受重視,但是全球仍然持續不斷地出現密碼被竊地現象。 日前,Trustwave旗下的SpiderLabs實驗室又發現了一個影響密碼安全的問題,而且Windows 8和Windows 7中都存在。 在Windows 8和Windows 7系統中,“用戶密碼提示”鍵值就存儲在SAM數據庫的“HKLM\SAM\SAM\Domains\Account\Users\\UserPasswordHint”位置,不管使用什麼方法,如果你能拿到系統訪問權,就能輕松地通過注冊表查詢獲取這個鍵值。如下圖:
第一眼看到上面的提示時,你或許會失望,這不是被加密了嗎?但是如果你是安全研究人員,那麼看看那串字符中的0,你就能想到,破解它其實不會很難。 SpiderLabs安全人員Jonathan Claudius指出:“過去兩個月裡處理了大量的PHP惡意軟件,因此知道,那些‘壞蛋們’經常做的一件事就是將有效荷載數據轉換成單個字符,然後用 ASCII碼表示。” “看看這些注冊表值,它似乎采用了同樣的方法,所以我用Ruby寫了一個小譯碼器,試試能不能獲得這個用戶密碼提示。”這是解碼 方法:
Claudius編寫的譯碼器完美完成了破解任務,將密碼提示字符串破譯成了文本“monkeys eat”(猴子吃...),密碼你應該也能猜到了:
也就是說,盡管密碼提示看起來很難辨認,但是只要使用工具進行解碼,就能輕松地提取出有用信息。不過大家也不用太擔心,實際上,這種破解對用戶來說沒有什麼影響,不過對滲透測試人員很有幫助。