[转载]解剖安全帐号管理器(SAM)结构 |
文章作者:refdom (refdom_at_263.net) 6gmVw1 http://www.numino.net I、 摘要 JZFkKQ http://www.numino.net II、 关于SAM 0wzCH5 http://www.numino.net III、注册表中SAM数据库的结构 4i6c69 http://www.numino.net IV、 SAM数据库的结构和主要内容 3rt5T8 http://www.numino.net V、 关于SAM数据库分析的结论 Gmm1Tj http://www.numino.net 一、摘要 Siwljy http://www.numino.net 分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过。不发布的主要 iy35Qd http://www.numino.net 原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推 g0mR7r http://www.numino.net 断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动 kN5Zzn http://www.numino.net 时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动)。至于现在发布出 Nddpzv http://www.numino.net 来,主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性,对SAM的结构 VjOtxr http://www.numino.net 的熟悉,可以帮助安全维护人员做好安全检测(当然也可能让不良企图者利用)。 yNm9So http://www.numino.net 这里只介绍关于SAM的内容,同Security相关的暂时不公开。 gMcF4A http://www.numino.net 二、关于SAM n069Ub http://www.numino.net 不要误解了SAM,这不是一个文件sam这么简单。SAM(Security Accounts Manager安全帐户管理器)负责 O29e6e http://www.numino.net SAM数据库的控制和维护。SAM数据库位于注册表HKLM\SAM\SAM下,受到ACL保护,可以使用regedt32.exe打开注 Ypd2Z0 http://www.numino.net 册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32\config\目 Qk4Xuy http://www.numino.net 录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。 KFuudA http://www.numino.net SAM数据库中包含所有组、帐户的信息,包括密码HASH、帐户的SID等。这些内容在后面详细介绍。以我分 laGj1I http://www.numino.net 析的系统中文Win2K Adv Server为例。 7Pt3ax http://www.numino.net 三、注册表中SAM数据库的结构 Eu8Zwz http://www.numino.net 展开注册表HKLM\SAM\SAM\: sDPbpB http://www.numino.net HKLM---SAM n85k4R http://www.numino.net |---SAM I3Tsb5 http://www.numino.net |---Domains 26whjf http://www.numino.net | |---Account jt3L01 http://www.numino.net | | |---Aliases hsA0Lr http://www.numino.net | | | |---Members O01xqW http://www.numino.net | | | |---Names 88U0QK http://www.numino.net | | |---Groups 7MdOoT http://www.numino.net | | | |---00000201 8FV8Gq http://www.numino.net | | | |---Names P9vp08 http://www.numino.net | | | |---None FZW706 http://www.numino.net | | |---Users 4EmLfZ http://www.numino.net | | |---000001F4 pwQtEP http://www.numino.net | | |---000001F5 jB5GA2 http://www.numino.net | | |---000003E8 4CqP06 http://www.numino.net | | |---000003E9 24Ko2w http://www.numino.net | | |---Names 31ByjZ http://www.numino.net | | |---Adaministrator bMy7ff http://www.numino.net | | |---Guest 62YJjk http://www.numino.net | | |---IUSR_REFDOM mg3S6X http://www.numino.net | | |---IWASM_REFDOM tDee79 http://www.numino.net | |---Builtin uOQKM3 http://www.numino.net | |---Aliases 2HuWHw http://www.numino.net | | |---00000220 pCbCTB http://www.numino.net | | |---00000221 JJ52Ji http://www.numino.net | | |---00000222 gLxn8g http://www.numino.net | | |---00000223 bv7D2a http://www.numino.net | | |---Members JphKNc http://www.numino.net | | | |---S-1-5-21-1214440339-706699826-1708537768 u0HsD2 http://www.numino.net | | | |---000001F4 28bD2P http://www.numino.net | | | |---000001F5 E7KT4e http://www.numino.net | | | |---000003E8 pwqfxC http://www.numino.net | | | |---000003E9 4l5dud http://www.numino.net | | |--- Names ypcVi2 http://www.numino.net | | |---Administrators uxcPbr http://www.numino.net | | |---Users 021lbQ http://www.numino.net | | |---Guests ofGUo9 http://www.numino.net | | |---Power Users 0SZD5E http://www.numino.net | |---Groups fRLDhw http://www.numino.net | | |---Names nYO27o http://www.numino.net | | htF6Dm http://www.numino.net | |---Users o4Nnzq http://www.numino.net | |---Names RkE3L4 http://www.numino.net | 4TsBm3 http://www.numino.net |---RXACT S6JSfQ http://www.numino.net 这是我机器上注册表中的SAM树。 p9E1ut http://www.numino.net 对照SAM文件中的内容,可以看出,注册表中的SAM树实际上就是SAM文件中一样。不过,SAM文件中是先列 0XlTgD http://www.numino.net RXACT然后在是Domains内容(以此类推),文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看 P6l916 http://www.numino.net 文件内容,从文件的0000h到0006Ch,表示的是SAM数据库所在的位置:\systemroot\system32\config\sam,然 vlcoSo http://www.numino.net 后是一端空白,直到01000h(hbin),从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍, Rbu8wW http://www.numino.net 不过会穿插着介绍,有兴趣可以自己去研究。 LBlWTN http://www.numino.net 四、SAM数据库的结构和主要内容: 0q8C4Z http://www.numino.net 在整个数据库中,帐号主要内容存在于下面这些位置: JlZ2yj http://www.numino.net 在\Domains\下就是域(或本机)中的SAM内容,其下有两个分支“Account”和“Builtin”。 U7XQEx http://www.numino.net \Domains\Account是用户帐号内容。 5XKPg8 http://www.numino.net \Domains\Account\Users下就是各个帐号的信息。其下的子键就是各个帐号的SID相对标志符。比如000001F4, 89WXg5 http://www.numino.net 每个帐号下面有两个子项,F和V。其中\Names\下是用户帐号名,每个帐号名只有一个默认的子项,项中类型不 1h6ECi http://www.numino.net 是一般的注册表数据类型,而是指向标志这个帐号的SID最后一项(相对标识符),比如其下的Administrator, Ybot08 http://www.numino.net 类型为0x1F4,于是从前面的000001F4就对应着帐户名administrator的内容。由此可见MS帐号搜索的逻辑。 071Fch http://www.numino.net 推断一:从注册表中结构来看帐号,如果查询一个帐户名refdom的相关信息,那么,微软从帐号名refdom中 KQ70Sj http://www.numino.net 找到其类型0x3EB,然后查找相对标志符(或者SID)为000003EB的帐号内容。所有的API函数(比如NetUserEnum()) 03sypT http://www.numino.net 都是这样来执行的。因此,如果改变refdom帐号中的类型0x3EB为0x1F4,那么这个帐号将被指向类000001F4的帐 Er9cUy http://www.numino.net 户。而这个帐号000001F4就是administrator帐户,这样,系统在登录过程中就把refdom帐号完全转为了administrator bToQAp http://www.numino.net 帐号,帐号refdom所使用的所有内容、信息都是adminisrtator内容,包括密码、权限、桌面、记录、访问时间等 Yl5mY1 http://www.numino.net 等。这个推断应该成立,但是,将意味着两个用户名对应一个用户信息,系统启动上应该会发生错误! 90ShVC http://www.numino.net 推断一是在以前分析结构的时候即得出了,揭示了登录过程中及之后帐户名和SID关联的关系。 klGv99 http://www.numino.net \Domains\Account\Users\000001F4,这就是administrator的帐户信息(其他类似)。其中有两个子项V和F。 C138op http://www.numino.net 项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更 tryol2 http://www.numino.net 改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还 HgGncf http://www.numino.net 有一个重要的地方就是这个帐号的SID相对标志符。 sK2xZJ http://www.numino.net 以前分析结构的时候没有留意到这个地方,这就是Adam提出的思路。这个地方就是这个SID相对标志符在注册 Y571MZ http://www.numino.net 表中一个帐号出现了两遍,一个是在子键000001F4,另一个地方就是子键中项F的内容里面,从48到51的四个字节: Q37Yv7 http://www.numino.net F4 01 00 00,这实际上是一个long类型变量,也就是00 00 01 F4。当一个标志出现在两个地方的时候就将发生 9W1nu1 http://www.numino.net 同步问题。明显,微软犯了这个毛病。两个变量本应该统一标志一个用户帐号,但是微软把两个变量分别发挥各自 rg29aG http://www.numino.net 的作用,却没有同步统一起来。 d0c3Ll http://www.numino.net 子键中000001F4用来同用户名administrator对应,方便通过用户查询帐户信息,比如LookupAccountSid()等 9jBT1e http://www.numino.net 帐号相关API函数都是通过这个位置来定位用户信息的,这个关联应该是用在了帐户登录以后。而项目V值中的 0ZnU63 http://www.numino.net F4 01 00 00是同帐户登录最直接相关联的。 6wRo7I http://www.numino.net 推断二:WIN登录的时候,将从SAM中获得相对标志符,而这个相对标志符的位置是V值中的 F4 01 00 00。但是, X9crjy http://www.numino.net 帐户信息查询却使用的SAM中子键内容。 7Qn0T4 http://www.numino.net 推断二的原因假设(假设一):在帐户登录的时候,登录过程获得SAM数据库中用户名使用的帐户记录信息中的 u3Xap2 http://www.numino.net 相对标志符值(相当于V值中的 F4 01 00 00),帐户登录之后,所有跟帐户相关的之后,这个值不再被API函数使 cSVB2H http://www.numino.net 用,而相对标志符由一个数据记录项的字段名代替(相当于子键000001F4)。微软犯了一个同步逻辑问题! sefSm2 http://www.numino.net 推断二是根据Adam提出而进行的,以前没有这样推断过。:( 推断二如果成立,揭示了在登录过程中帐户SID进行 Gksqr8 http://www.numino.net 的过程。这就是为什么V中的值都是跟帐户登录记录(登录时间,密码错误次数等)相关的原因。同时,因为F中保存 L5d2P7 http://www.numino.net 了一个用户名内容,而API函数查询的是这个用户名,所以Adam的克隆办法还是容易露脸,经叮叮补充过后,这个用户 01rrZQ http://www.numino.net 名也被恢复原用户名了,从用户名上检测就相对难了。 xCR34b http://www.numino.net 上面对项目V的介绍可以知道,其中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、 4m5gAK http://www.numino.net 密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。 B2Y04S http://www.numino.net 假设二:在帐户的项V中,包含了用户HASH,分别包括是LM2和NT的密码加密散列,Crack时,可分开进行。毕竟 AX2J22 http://www.numino.net LM2简单。 3lMYGn http://www.numino.net \Domains\Builtin下的内容是同帐户组相关的。其结构同\Account下的类似,并且也存在相应的问题,就不再 18n4o9 http://www.numino.net 罗嗦了。 4K1k0X http://www.numino.net SAM数据库保存的文件sam中,可没有注册表中的这么简明的内容,而主要是通过偏移量、长度来定位内容。并 L3ZB2I http://www.numino.net 且单个帐号的信息都是集中在一块的,而不是象注册表形式这样分隔开(名字的一个键而内容在另外一个键)。 r58Ze3 http://www.numino.net sam文件中,可根据这些下面这些分隔符来定位数据含义: w0Agp1 http://www.numino.net nk (6E 6B) 键或者子键名 3hL3HF http://www.numino.net vk (76 6B) 相应的值 0E7Dpz http://www.numino.net if (6C 66) 子键列表 22JY7z http://www.numino.net sk (73 6B) 权限 VRbNpH http://www.numino.net 五、关于SAM数据库分析的结论: v84Azv http://www.numino.net SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏,造成系统启动问题,虽然可以通过 x2hq4L http://www.numino.net 删除SAM文件来让启动恢复。如果能够熟悉SAM的结构,你将发现,可以对用户名与用户名之间、用户组与用户组之间 A93sQV http://www.numino.net 进行调换,以及帐户和帐户组伪造,完全打破微软的帐户格局。并且非常隐蔽,让帐户相关的API函数摸不着头脑。 4RQYXn http://www.numino.net 虽然微软处理帐号信息中犯了不少逻辑问题,但是安全帐号数据库并非不安全,所有操作都必须能完全拥有管理 9lUSGY http://www.numino.net 员权限。 s9ROuI http://www.numino.net 当隐蔽后门的办法被提出来之后,一定会让不少“黑客”利用,管理员也应该多多熟悉相关技术,作好安全检测, w877qD http://www.numino.net 我的目的就达到了。对《克隆管理员帐号》的简单检测工具可以在我的主页(www.opengram.com)下载,但是更多的还 5l545v http://www.numino.net 是需要管理员学习相关知识,才能更好地检测入侵。
|
|