0 引言

本节所述的破解系统密码主要包括利用win7漏洞绕过系统登录密码以及利用PE系统破解win
dows系统开机密码。利用win7漏洞绕过系统登录密码需要windows系统存在漏洞才可以，若已修复则失效。而利用PE系统破解win系统开机密码需要插入U盘，但是无论计算机系统本身有无漏洞，都可以通过PE系统打开计算机，从而修改密码。

1 利用win7漏洞绕过系统登录密码

1.1 原理

利用部分win7系统和win10系统存在的漏洞：（1）在未登录系统时，连续按5次shift键，弹出程序c:\windows\system32\sethc.exe；（2）可以通过系统修复漏洞打开一个记事本，通过记事本可以打开我的电脑，进入C盘，从而找到cmd程序与sethc.exe，把sethc.exe名称换掉，然后把cmd复制出来一份，将名称改为sethc.exe。
注意：如已修复，则无法利用。
win7一般shi

1.2 破解过程相关知识

（1）cmd工具路径：c:\windows\system32\cmd。
（2）用户/账户密码存储位置： c:\windows\system32\config\SAM 。
（3）修改账户密码：net user 用户名密码。

1.3 实操过程

（1）开启win7虚拟机，开机，并设置一个复杂密码；
（2）关机，并开机，在出现windows启动界面时强制关机（一定要在开机图标开始出现时立马强制开机），再次开机时出错（如未出现多试几次），选择启动修复。如未出现，多尝试几次强制关机，如还不行，换其他虚拟机。
在这里插入图片描述
（3）出现系统还原提示，点“取消”，让它修。

（4）等待一段时间后，修复失败出现原因，点击查看问题详情，下拉到最后一个链接，进入该记事本文件。

（5）之后出现记事本，点击>>文件>>打开，进入>>我的电脑，设置显示所有文件，之后打开C盘。注意，这里的C盘不是真正的C盘，只有100M的空间。
在这里插入图片描述
（6）找到sethc并改名为sethc-1（改啥无所谓），再找到cmd，复制一份并改名为sethc。注意，在这个
模式下，扩展名是隐藏的。

（7）全部关闭，点完成进行重启。
（8）重启后，连续按5次shift键，将以system身份打开cmd文件。
（9）可改已有用户密码，也可以新建一个用户，并提升为管理员。

net user xx 1 /add						#空密码
net localgroup administrators a /add	#提升为管理员

（10）注销重启后，连续按5次shift键，删除该用户消灭痕迹，同时应清理日志。（是为了把尾巴擦干净）

net user a /del

1.4总结

核心思想：绕过开机时输入密码，在输入密码前打开cmd程序。

2 利用PE系统破解win系统开机密码

在《利用win7漏洞绕过系统登录密码》一文中，我们分析了利用win7漏洞，绕过开机密码，打开cmd添加用户并提升权限的案例，但是该方式当系统已修复漏洞时将失效。
本节将分享另一种绕过开机密码，修改系统开机密码的方法。

2.1 问题及解决思路

当计算机正常启动时，SAM文件禁止被访问，那么我们应该如何在不访问SAM文件时，打开计算机对SAM文件进行操作，如何将自己创建的密码得出的hash值替换原SAM文件。在开机状态下，是不能改的，只有微软的系统通过"net user"这条命令才可以修改。答案是另辟蹊径，准备一个U盘，把U盘作为一个系统，在U盘上安装一个微型PE的操作系统，进入BIOS界面改为U盘引导，这种情况下打开计算机，此时U盘可以当作计算机得硬盘，原硬盘可以看作移动硬盘，可以对移动硬盘进行修改控制，因此原SAM文件可以被访问修改。
由于SAM文件采用hash算法，无法从其密文推理出明文，因此我们无法破译其原密码，但是我们可以用新的密码将其覆盖。

2.2 实操过程

2.2.1 虚拟机操作

（1）下载PE系统的ios文件，设置虚拟机光驱镜像文件文件为PE系统iso文件，点击确定。
在这里插入图片描述
（2）在虚拟机开机下拉菜单中，找到进入固件，进入BIOS设置界面；进入BOOT界面，根据下面的提示操作设置启动顺序，将光盘设置为启动项（放入第一位）。（若为真实机，利用U盘启动时，将移动硬盘设为启动项）。
在这里插入图片描述

（3）进入PE系统，桌面启动“破解Windows登录密码”，找到SAM文件所在，点击打开，找到已经设置好的用户列表。

（4）选中用户，点击更改口令，不输入表示清空。