001_破解系统密码_漏洞

　　破解密码的目的并不是为了去破解别人的密码，而是为了防御，如果有一天自己手贱设置了一个长的挖苦的密码，但是又忘了，这个时候就需要破解密码了。

 

----狂按5次"Shift"键，弹出"粘滞键"程序，破解Win7密码

　　1. 漏洞(必须要两个漏洞同时具备) ===》

--(1). 在未登录系统的时候(就是开机了，等待输入密码的状态)，连续按5次"Shift"键，弹出程序"c:\windows\system32\sethc.exe"。

--(2). 部分win7及win10在未进入系统时，可以通过"系统修复"漏洞篡改系统文件名。

(注意：如果win7或win10已经修复漏洞(2)，则无法利用)

　　系统修复漏洞：win10中不好出现，但是win7中会经常出现。当你用win7系统的时候突然断电或者不正常关机后，下一次进入系统的时候会弹出提示"正常启动 / 安全模式 / 建议修复模式"。只要弹出"建议修复"，就证明系统存在"系统修复漏洞"。

　　2. 破解过程中涉及到的几个程序 ===》

--(1). cmd(命令提示符)工具路径: "C:\Windows\System32\cmd.exe"。

--(2). 用户 / 账户密码的存储路径: "C:\Windows\System32\config\SAM"(使用的是非逆转式加密——hash算法)。所以只能将所有账号密码的hash值提取出来，然后实行"暴破"(暴力破解)。

--(3). 在cmd中修改账户密码: net user 用户名 新密码

--(4). 在cmd中创建一个新账户: net user 新用户名 新密码 /add

--(5). 在cmd中删除一个用户: net user 用户名 /del

--(6). 提升管理员: net localgroup administrators 用户名 /add

　　3. 破解的思路 ===》

--(01). 首先开机至登录界面，假装我们忘记了密码。然后狂按5次"Shift"键，发现弹出了"粘滞键"程序——漏洞1具备(这里只是演示一下，真正实战的时候并不需要这样做)。

--(02). 然而光是"粘滞键"程序本身并没有什么用，我们是想希望下一次开机的时候弹出来的是cmd(想方设法让程序掉包)，然后通过修改命令修改账户的密码。这是就需要让系统弹出第2个漏洞——"系统修复漏洞"。

--(03). 重启系统，然后在系统显示"系统启动中"的时候强制关机(台式电脑: 直接拔电源, 笔记本电脑: 按下开机键持续5秒)，再开机，此时弹出"建议修复模式"——漏洞2具备。

--(04). 进入"修复模式"，此时系统尝试修复，但一般情况下它并不能检测到什么异常(因为这仅仅是一个开机断电的异常)，1~2分钟后系统弹出一个窗口，问"是否还原此计算机"，选择否。这时系统会再次帮你查找漏洞，但是并没有什么卵用，还是找不出，然后弹出一个窗口"是否发送该错误该微软的官方"，啥也不选，展开下面的详细信息，在最下面有"点击微软官网链接 / 点击内置的脱网链接"两个选项，选择脱网的链接(因为这个才能与本地的计算机联系起来，漏洞也就藏在这个文本文件中)

--(05). 打开文本文件后，发现根本没有什么特别的，但是细心的兄弟会发现，点击菜单栏中的"文件"->"打开"(快捷键: Ctrl + O)，便可以随意的浏览系统中的文件。进入"此电脑"。

--(06). 这时会有很多盘，其中有一个"系统保留(C盘)"的盘并不是真正的C盘，它只是C盘之前的一个隐藏的启动盘(这个主要看盘的大小，如果说很大有几十个G的话那就C盘，如果只有100来兆的话那就不是C盘)。打开后面的D盘，然后开始进行程序掉包。

--(07). 将下面的文件类型改为"所有文件"，然后进入路径"c:\windows\system32\"，找到"sethc.exe"，改名儿叫"hahaha"(名儿随便取)；再在同一目录下找到"cmd.exe"，复制一份副本，将副本改名为"sethc"(防止进入程序后输入cmd找不到真正的cmd)，然后退出系统——程序掉包成功。

--(08). 重启系统，狂按5次"Shift"键，系统弹出"sethc.exe"，但是真身是"cmd.exe"。这是我们便可以通过增加账户的方式"胡作非为"了。

--(09). 添加一个新的用户，在cmd中输入: net user simba ""/add(空字符串表示没有密码)

--(10). 升级为管理员，在cmd中输入: net localgroup administrators simba/add(对"本地组"进行操作，哪个"本地组"？是"管理员组"。增加一个用户名为"simba"的用户)。

--(11). 再重新启动系统，新用户即生效。

--(12). 最后，做事必须要把屁股擦干净: 再次进入修复模式，先将新的用户删除掉，在假的"sethc.exe"中输入: net user simba /del，再将更改的文件改回来即可。