【Windows】分析一个爆破Windows本地登陆密码的小程序

背景

土司论坛上有人发了一篇帖子，楼主拿到某个韩国服务器的webshell之后，发现这台服务器已经被人拿下了。而且前辈在这台服务器上创建了一个用户 xiao，此拼音属于中文特征，明显是中国某黑阔留下的作品。
于是乎作者就想试试看能不能猜到 这位账号 xiao的登陆密码。这样就可以省的自己再去找路子渗透。如果能够猜到密码，就可以直接控制这台韩国服务器了。
https://www.t00ls.net/viewthread.php?tid=37559&extra=&page=1

楼主还贴出了自己使用的用来爆破windows登陆密码的小程序

最终楼主拿到了密码 xiaogang520
并且在论坛上放出了工具。号称 3分钟可以试探 40万个密码
很多人在帖子下面留言，也有人像我一样，想知道这个工具原理是啥，是如何做到能够短时间内大量口令的离线破解的。

用ida来静态分析下，发现根本没有加壳，非常简单

非常简单，就是对参数的一些判断和解析

while循环读取 file中的内容。
sub_401020方法是核心方法
跟入此方法

发现使用了API函数 LogonUserA

此函数是由 ADVAPI32.dll 导出。

MSDN的解释

LogonUser 方法只用于 本地计算机用户尝试本地登陆，不能用于登陆远程计算机。
登陆成功后，会返回这个用户的token，拥有这个token值，可以用来模拟这个用户的所有操作，也可以用来创建可以运行在登陆用户上下文的进程。

这种爆破windows本地账户密码的手段非常简单，之所以速度非常快，是因为不需要通过网络来验证，这是在调用本地API接口来实现密码爆破，在拥有webshell，且其他突破思路受阻（法国奇异果失效，无法抓取hash）时，可以试一下这种方法。

知道了工具爆破的原理，自己重新写了一个工具，加上了多线程爆破，速度可以提升的更多，方便以后遇到类似的渗透测试场景时所使用。

不过这个软件也存在两处缺陷，在于：
1、拥有强大的口令字典；
2、每次尝试本地登陆认证时，如果服务器之前就开启了系统日志审计的话， 会留下大量的登陆痕迹