怎么搞定某擎EDR卸載密碼

怎么搞定某擎EDR卸載密碼，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

0x01 前言

現(xiàn)在很多環(huán)境中都會安裝終端安全管理軟件以保護(hù)系統(tǒng)的安全，管理員當(dāng)然不會允許用戶擅自退出或者卸載軟件，往往會在服務(wù)端配置一個密碼，用以運(yùn)維時使用，此類運(yùn)維密碼往往是紅隊(duì)活動中夢寐以求的東西，拿到一個說不定就一碼通了呢！

之前做這件事的起因是這樣，跟紅隊(duì)大佬好基友閑聊時，說起殺軟卸載密碼的問題，重點(diǎn)不是要卸載，而是關(guān)注密碼如何驗(yàn)證，以及是否存在獲取明文密碼的可能，若不是隨機(jī)密碼，就可以從密碼分析組合規(guī)律，在沒有其他收獲時，多一個密碼組合規(guī)律，就多一種路子不是？

一想很有道理啊，再加上正好懂一點(diǎn)點(diǎn)逆向，那就安排一下。

0x02 關(guān)鍵分析

直接進(jìn)入正題，打開控制面板 - 程序和功能，找到目標(biāo)右鍵卸載，會彈出對話框要求輸入密碼，這樣的。

掛上調(diào)試器，找到驗(yàn)證密碼的地方，其實(shí)在這里已經(jīng)可以實(shí)現(xiàn)無密碼卸載的效果了，但這不是我們的目的，我們繼續(xù)分析。

向上找到函數(shù)頭部，下斷點(diǎn)順一遍整體流程，從函數(shù)頭開始，可以看到讀取了文件 EntBase.dat。

過去看一眼這個文件的內(nèi)容，稍微對內(nèi)容留個印象，根據(jù)名字盲猜這兩個 HASH一個是卸載密碼另一個是退出密碼。

順一遍最主要目的是看一下 HASH怎么生成的，找到生成 HASH函數(shù)后發(fā)現(xiàn)特征與 MD5很像啊。

這里最簡單的驗(yàn)證辦法就是下個斷點(diǎn)，看一下參數(shù)輸入以及結(jié)果輸出值，將參數(shù)代入標(biāo)準(zhǔn)的 MD5算法對比一下就知道了，視情況而定，有時候沒必要硬擼代碼，驗(yàn)證后發(fā)現(xiàn)結(jié)果是一模一樣啊，這里就不貼圖了。

找一下參數(shù)來源，原來是將輸入的內(nèi)容與固定字符串進(jìn)行拼接。

整個驗(yàn)證流程里存在兩個算法，兩個的核心都是拼接固定字符串進(jìn)行MD5，區(qū)別就是進(jìn)行MD5的次數(shù)，個人猜測是歷史遺留問題，需要兼容舊版本。

最終整理一下流程：

• 讀取 EntBase.dat。

• 將輸入的密碼與固定字符串進(jìn)行拼接。

• 將結(jié)果帶入 MD5方法計算 HASH，兩種算法分別計算。

• 最后與 EntBase.dat中的 HASH進(jìn)行對比，兩個算法的結(jié)果通過一個即可。

至此可以確定，卸載密碼無法逆向還原，也無法使用在線的網(wǎng)站查詢（因?yàn)槠唇?多次計算），但是可以正向碰撞一下，所以還是存在獲取明文密碼的可能，只是需要一個稍微強(qiáng)大億點(diǎn)點(diǎn)的字典進(jìn)行配合。

0x03 驗(yàn)證測試

根據(jù)分析結(jié)果，寫個腳本跑一下，字典使用 TOP 系列以及定制化生成字典進(jìn)行碰撞測試，如單位名加日期、座機(jī)號等信息。

拿去測試一下是否正確，先試一下退出。

退出沒有問題， 卸載應(yīng)該也沒有問題。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。