宽带连接用户名称和密码恢复原理

1、宽带连接用户名称和密码恢复原理获ADSL密码忘记了，但幸好还保存在拨号连接里面，到网上找了些星号密码显示工具，可惜不起作用。后来找到一）的工具，不负重望把密码还原出来了。（获得宽带用户名称和密码( HYPERLINK /detail/lzwbadboy/8182669 /detail/lzwbadboy/8182669得宽带用户名称和密码工具界面如下，我的系统是windows xp）该工具并非非普通的星号密码显示工具，那它的原理是什么呢？其实原理很简单，就是用rasapi32.dll里面的一些函数来获取拨号连接的一些信息（）， 再用 ADVAPI32!LsaRetrievePrivateDat

2、a 函数 来获取密码，后来研究 LsaRetrievePrivateData返回的数据。其原理大致如下：插入一线程到lsass.exe 进程打开 LSA Policy database3）从注册表HKLMSECURITYPolicySecrets中枚举子键4）LsarOpenSecret5）LsarQuerySecret进一步研究后发现，其实 ADVAPI32!LsaRetrievePrivateData 是通过 NdrClientCall2 发送 RPCC用到 lsass.exe 进程， lsass.exe 里面再调用 LsarOpenSecret、LsarQuerySecret 来完成获取

3、拨号连接信息过程的。（注：LsarOpenSecret里面有权限判断，非 ADMIN组用户是没有权限来调用 ADVAPI32!LsaRetrievePrivateData 的）跟踪了一下 LsarQuerySecret ,发现 它返回的数据其实是从注册表中读取。保存拨号连接信息的注册表键值为： HKLMSECURITYPolicySecretsRasDialParams!SID#0CurrVal 。SID对应的是用户的string SID 。 （ “HKLMSECURITY这个键只有SYSTEM权限读写，连 admin都没有权限）LsarQuerySecret从注册表中读取出来数据后，接着调用

4、LsapCrDecryptValue 函数来解密，对于同一台机器来说，解密时用的KEY始终都是固定的，这个KEY在lsasrv.dll 里面变量名为_LsapDbSecretCipherKey。在 windows 2003里面，变量名不一样，对应的有两个，分别为 LsapDbSecretCipherKeyWrite 和LsapDbSecretCipherKeyRead,但这两个变量里面 的数据是一样的。LsapCrDecryptValue 用的似乎是标准 DES算法，解密时主要流程如下:lsasrv!LsapCrDecryptValue|_ advapi32!SystemFunction005

5、|_ advapi32!DecryptDataLength|_ advapi32!SystemFunction002|_ advapi32!DES_ECB_LM|_ advapi32!des解密后，在 标示处还有一个判断.text:785462F0call_LsapCrDecryptValue12.text:785462F5testeax, eax.text:785462F7movebp+var_8, eax.text:785462FAjlloc_785838E1.text:78546300.text:78546300 loc_78546300:.text:78546300cmpbyte pt

6、r esi+45h, 0 dd ebp-400006fcb8 00400028 00000002 000000dc 000000d80006fcc8 00000024 00000000 00000000 000000000006fcd8 00000001 00000010 00000010 fd317e3e0006fce8 7e24e86d d12503d3 5f7d01a8 7665f528kd db ebp-140006fce4 3e 7e 31 fd 6d e8 24 7e-d3 03 25 d1 a8 01 7d 5f将上述ebp-14”处的0 x10字节数据 COP喳Msasrv.d

7、ll里面的_LsapDbSysKey”变量。_LsapDbSysKey 在不同的机器上面(即使版本相同)都是不一样的。跟踪系统启动过程， 可知道 SecurityWxApiPort 是由 winlogon.exe 进程创建的， 然后 lsass 进程通过这个LPCPORT从winlogon进程获取SYSKEY随后winlogon进程会关闭这个 LPCPORT所以在系统启动完成之后，用Process Explorer等工具是看不到这个 LPC POR怖在的，而且在winlogon和LSASS进程空间都搜索不到上述SYSKEY从注册表 HKLMSECURITYPolicyPolSecretEncr

8、yptionKey 中读取出来一段数据，调用函数 _LsapDbDecryptKeyWithSyskey ， 把它用 _LsapDbSysKey 来解密， _LsapDbSecretCipherKey 就在解密完后的数据里面。(LsapDbDecryptKeyWithSyskey” 函数做的其实就是 MD琲口 RC4运算)了解原理后，我们就可以直接从注册表里面来获取拨号连接中的密码等数据了。但有几个问题需要解决：原料。Q:HKLMSECURITY”键只有 SYSTEM1权限读写？A:我们可以把代码插入到 SYSTEMS程里面去运行，或者把这个键修改为ADMIN有权限读，或者提升本进程权限。催化

9、剂 :)Q:如何获取 _LsapDbSysKey? 解密用的函数 _LsapDbDecryptKeyWithSyskey 为非导出函 数，怎么办？A1:用flashsky 的代码来获取SYSKEY禾U用公开的 MD丽RC4库函数来解密。A2:直接从 lsass.exe 进程里面搜索_LsapDbSecretCipherKey ，它的结构如下，typedef struct _LSA_BLOB DWORD cbData;DWORD cbMaxData;BYTE* pbData; LSA_BLOB;pbData 指向存储 KEY的地址，KE诈度固定为 0 x10字节，即cbData和cbMaxDat

10、a都是固定 为0 x10。所以从lsass进程的空间里面搜索x10 x00 x00 x00 x10 x00 x00 x00 即可找到正确的KEY。 结果可能会有多个，可以把所有搜索到的 KEY都试一下，总有一个正确的。工具A:或许可以根据特征码来搜索，是导出函数:) 。或者直接利用公开的但总觉得不太可靠。 幸好， LsapCrDecryptValue 调用的 advapi32!SystemFunction005DES库函数，自己来运算。-=-=-=-=-=-=-=-=-=-= x_dialupass2.cpp -=-=-=-=-=-=-=-=-=-=/*演示还原NT平台拨号连接密码原理：直接从

11、注册表中读取加密后的数据，解密之。可运行于 windows 2000/xp/2003 平台，必须有权限读取注册表HKLMSECURITYeyas at HYPERLINK 2004-10-01*/#include #include #include #pragma comment(lib, Advapi32.lib)#pragma comment(lib, psapi.lib)/ 抄袭 tombkeeper 的代码 :)#define FCHK(a) if (!(a) printf(#a failed %dn, GetLastError(); return0;typedef struct _L

12、SA_BLOB DWORD cbData;DWORD cbMaxData;BYTE* pbData; LSA_BLOB;typedef int (WINAPI *PSystemFunction005)(LSA_BLOB* pDataIn,LSA_BLOB* pDataKey,LSA_BLOB* pDataOut );PSystemFunction005 SystemFunction005;DWORDdwFlag=0;/ 来自 lsadump2 中的 dumplsa.cint myisprint (int ch)return (ch = ) & (ch 16) _snprintf (szDump

13、Buff, sizeof (szDumpBuff), %02X %02X %02X %02X %02X %02X %02X %02X %02X %02X %02X %02X%02X %02X %02X %02X %c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%cn,p0, p1, p2, p3, p4, p5, p6, p7,p8, p9, p10, p11, p12, p13, p14, p15,myisprint(p0) ? p0 : .,myisprint(p1) ? p1 : .,myisprint(p2) ? p2 : .,myisprint(p3) ? p3 : .,

14、myisprint(p4) ? p4 : .,myisprint(p5) ? p5 : .,myisprint(p6) ? p6 : .,myisprint(p7) ? p7 : .,myisprint(p8) ? p8 : .,myisprint(p9) ? p9 : .,myisprint(p10) ? p10 : .,myisprint(p11) ? p11 : .,myisprint(p12) ? p12 : .,myisprint(p13) ? p13 : .,myisprint(p14) ? p14 : .,myisprint(p15) ? p15 : .);printf (%s,

15、 szDumpBuff);p+=16;sz -= 16;if (sz) char buf17;int i = 0;int j = 16 - sz;memset (buf, 0, sizeof (buf);szDumpBuff0 = 0;while (sz-) _snprintf (szDumpBuff+strlen (szDumpBuff),sizeof (szDumpBuff) - strlen (szDumpBuff), %02X, *p);if (myisprint (*p)bufi+ = *p;elsebufi+ = .;p+;_snprintf (szDumpBuff+strlen

16、(szDumpBuff),sizeof (szDumpBuff)-strlen (szDumpBuff),%*s%sn, j*3 + 2, , buf);printf (%s, szDumpBuff);DWORD search_LsapDbSecretCipherKey(BYTE *ppKey, DWORD pid) HANDLE hLsass, hLsasrv;DWORD dwRead, i, dwAddr;BYTE *pImage = NULL;MODULEINFO mod;BOOL bRet = FALSE;DWORD dwCount = 0, dwMaxCount=100;FCHK (

17、 (hLsasrv = LoadLibrary(lsasrv.dll) );FCHK ( GetModuleInformation(GetCurrentProcess(), (HMODULE)hLsasrv, &mod, sizeof(mod) );FCHK ( hLsass = OpenProcess(PROCESS_VM_READ, FALSE, pid) );pImage = (BYTE*)malloc(mod.SizeOfImage);ReadProcessMemory(hLsass, (BYTE*)hLsasrv, pImage, mod.SizeOfImage-0 x10, &dw

18、Read);*ppKey = (BYTE*)malloc(dwMaxCount*0 x10);_tryfor(i=0;imod.SizeOfImage;i+)if( memcmp(&pImagei, x10 x00 x00 x00 x10 x00 x00 x00, 8) = 0) dwAddr = *(DWORD *)(&pImagei+8);if( ReadProcessMemory(hLsass, (LPCVOID)dwAddr, &(*ppKeydwCount*0 x10), 0 x10, &dwRead) )dwCount+;/end of for_except(EXCEPTION_E

19、XECUTE_HANDLER)return dwCount;return dwCount;int main(int argc, char *argv)int ret,i,j;HMODULE hAdvApi32;HKEY hKeySecrets;HKEY hKey;DWORD dwType;char Data0 x500 = 0;BYTE *pKey;DWORD dwSize;LSA_BLOB LSADataIn;LSA_BLOB LSADataOut;LSA_BLOB LSADataKey;char szSecret500;char szSubKey0 x500;DWORD dwErr, dw

20、Count=0;if(argc!=2)printf(Usage: %s n, argv0);return 0;FCHK (hAdvApi32 = LoadLibrary(advapi32.dll);FCHK (SystemFunction005 = (PSystemFunction005)GetProcAddress (hAdvApi32, SystemFunction005) != NULL);FCHK (RegOpenKeyEx (HKEY_LOCAL_MACHINE,SECURITYPolicySecrets,0, KEY_READ, &hKeySecrets) = ERROR_SUCC

21、ESS)FCHK ( ( dwCount = search_LsapDbSecretCipherKey(&pKey, atoi(argv1) ) != 0 );printf(Search LsapDbSecretCipherKey return: %dn, dwCount);for(j=0;jdwCount;j+)printf(LsapDbSecretCipherKey %dn, j);dump_bytes(&pKeyj*0 x10, 0 x10);LSADataKey.cbData = LSADataKey.cbMaxData = 0 x10;LSADataKey.pbData = &pKe

22、yj*0 x10;/search our targetfor (i=0; TRUE; i+)dwErr = RegEnumKeyA (hKeySecrets, i, szSecret, sizeof (szSecret);if (dwErr != ERROR_SUCCESS)/ No More Secrets/break;printf(n%sn, szSecret);/open it_snprintf(szSubKey, sizeof(szSubKey), SECURITYPolicySecrets%sCurrVal, szSecret);if (ret = RegOpenKeyEx(HKEY_LOCAL_MACHINE, szSubKey, 0,KEY_READ,&hKey) != ERROR_SUCCESS ) continue;dwSize = sizeof(Data);FCHK (ret = RegQueryValueEx(hKey, NULL,&dwType,(LP