（1）Windows系统下的Hash密码格式

　　Windows系统下的Hash密码格式为：用户名称:RID:LM-Hash值:NT-Hash值，例如：

　　Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::表示

　　用户名称为：Administrator

　　RID为：500

　　LM-Hash值为：C8825DB10F2590EAAAD3B435B51404EE

　　NT-Hash值为：683020925C5D8569C23AA724774CE6CC

　　（2）Windows下LM-Hash值生成原理

　　假设明文口令是"Welcome"，首先全部转换成大写"WELCOME"，再将口令字符串大写转后的字符串变换成二进制串：

　　"WELCOME" -> 57454C434F4D4500000000000000

　　技巧：可以将明文口令复制到UltraEdit编辑器中，使用二进制方式查看，即可获取口令的二进制串。

　　如果明文口令经过大写变换后的二进制字符串不足14字节，则需要在其后添加0x00补足14字节。然后切割成两组7字节的数据，分别经str_to_key（）函数处理得到两组8字节数 据：

　　57454C434F4D45 -str_to_key()-> 56A25288347A348A

　　00000000000000 -str_to_key()-> 0000000000000000

　　这两组8字节数据将作为DESKEY对魔术字符串"KGS!@#$%"进行标准DES加密

　　"KGS!@#$%" -> 4B47532140232425。

　　56A25288347A348A -对4B47532140232425进行标准DES加密-> C23413A8A1E7665F

　　0000000000000000 -对4B47532140232425进行标准DES加密-> AAD3B435B51404EE

　　将加密后的这两组数据简单拼接，就得到了最后的LM Hash。

　　LM Hash: C23413A8A1E7665FAAD3B435B51404EE

　　Windows下NTLM Hash生成原理

　　IBM设计的LM Hash算法存在几个弱点，微软在保持向后兼容性的同时提出了自己的挑战响应机制，NTLM Hash便应运而生。假设明文口令是"123456"，首先转换成Unicode字符串，与LM Hash算法不同，这次不需要添加0x00补足14字节

　　"123456" -> 310032003300340035003600。

　　从ASCII串转换成Unicode串时，使用little-endian序，微软在设计整个SMB协议时就没考虑过big-endian序，ntoh*()、hton*()函数不宜用在SMB报文解码中。0x80之前的标准ASCII码转换成Unicode码，就是简单地从0x??变成0x00??。此类标准ASCII串按little-endian序转换成Unicode串，就是简单地在原有每个字节之后添加0x00。对所获取的Unicode串进行标准MD4单向哈希，无论数据源有多少字节，MD4固定产生128-bit的哈希值，16字节310032003300340035003600-进行标准MD4单向哈希->32ED87BDB5FDC5E9 CBA88547376818D4，就得到了最后的NTLM Hash

　　NTLM Hash: 32ED87BDB5FDC5E9CBA88547376818D4。

　　与LM Hash算法相比，明文口令大小写敏感，无法根据NTLM Hash判断原始明文口令是否小于8字节，摆脱了魔术字符串"KGS!@#$%"。MD4是真正的单向哈希函数，穷举作为数据源出现的明文，难度较大。

　　使用GetHashes获取Windows系统的Hash密码值

　　GetHashes目前最高版本是v1.4，它是InsidePro公司早期的一款Hash密码获取软件，其公司地址为：https://www.InsidePro.com，该公司还有"SAMInside"、"PasswordsPro"以及"Extreme GPU Bruteforcer"三款密码破解软件。

　　（1）GetHashes命令使用格式

　　GetHashes <SAM registry file> [System key file] Or GetHashes $Local

　　一般使用"GetHashes $Local"来获取系统的Hash密码值，该命令仅在system权限下才能执行成功。通常根据个人爱好，可以将"GetHashes.exe"工具软件命名为其他名称。

　　（2）使用GetHashes获取系统Hash值实例

　　将GetHashes重命名为getpw，然后将其复制到欲获取hash密码值的系统盘中，然后执行"GetHashes.exe $local"，顺利获取其密码Hash值，在本案例中使用的是Radmin的Telnet，单击"文本"-"保存为"将结果保存为一个新文件，然后使用UltraEdit编辑器进行编辑，仅仅保存Hash密码值部分，后面可使用LC5导入Hash密码值，即可破解系统的密码值。

　　如图所示:

　　进入目录:”D:\tools\” 可以。看见这里有gethash.exe软件。

　　点击开始运行输入cmd,进入cmd命令提示符界面。

　　切换到d:\tools目录。

　　使用gethash.exe软件获取本地的SAM表值。

　　注意：

　　（1）使用"GetHashes"来获取系统的Hash密码值，必须要在System权限下，也就是在反弹Shell或者telnet下。

　　（2）如果系统中安装有杀毒软件或者防火墙，有可能由于杀毒软件和防火墙的保护而导致密码获取失败。通过研究发现，由于Gethashes软件威力巨大，主要用在入侵过程中获取系统的Hash密码值，因此绝大多数杀毒软件已经将GetHashes软件加入到病毒库中，Castlecops网站提供的关于各大杀毒软件针对GetHashes所做的病毒库版本以及更新结果。

　　使用GetHashes获取系统Hash值技巧

　　使用GetHashes来获取系统的Hash值一般是在获得了系统的部分或者全部控制权限后，即通常是在新漏洞利用工具出来后，例如Ms08067漏洞利用工具，当存在Ms0867漏洞时，通过使用Ms08067漏洞利用工具获得存在漏洞计算机的一个反弹Shell，然后再将"GetHashes"软件上传到系统中来执行"GetHashes $Local"命令。对GetHashes工具的使用，笔者将一些经验技巧进行总结。

　　（1）在获得反弹Shell的情况下，首先查看系统是否存在杀毒软件；如果存在，则尝试是否可以关闭，如果不能关闭，则放弃使用GetHashes来获取Hash密码值，转向第二步。

　　（2）查看系统是什么系统，是否开启3389远程终端，如果未开启3389终端，可否直接开启3389终端。如果可以利用3389终端，则直接添加一个具有管理员权限的用户，然后使用用户登录到系统。

　　（3）关闭杀毒软件，再次通过Shell或者其他控制软件的telnet执行"GetHashes $Local"命令来获取Hash密码值，然后删除新添加到用户。