El primer paso en cualquier ejercicio de quebrar la contraseña consiste en obtener los hashes de contraseña. claro esta dependiendo del windows se lora de diferentes formas. En sistemas independientes de windows, los hashes de contraseña se almacenan en %systemroot%\system32\config\SAM, que se bloquea siempre que el sistema operativo está en ejecución. El archivo SAM también se representa como un de los cinco panales importantes del registro de windows, bajo la clave HKEY_LOCAL_MACHINE\SAM. Esta clave no esta disponible para lectura casual, incluso por la cuenta administrador (sin embargo, con un poco de habilidad y el servicio scheduler puede hacerse). en controladores de dominio, los hashes de contraseña se mantiene en active directory (%windir%\WindowsDs\ntds.dit ). ahora que sabemos donde se almacenan las cosas, ¿como carajos llegamos a ellas? existen varias formas, pero la mas sencilla consiste en extraer los hashes de contraseña de forma programática de SAM o active directory al usar herramientas publicadas.
extracción de hashes con pwdump con acceso administrativo, los hashes de contraseña volcarse facilmente des el registro en un formato estructurado, adecuado para análisis fuera de linea. la utileria original para completar esto se denomina pwdump, de jeremy allison, y se han lanzado varias versiones mejoradas, incluidas pwdump2, de todd sabin; pwdump3e e-business technology,inc; y pwdump6 o fgdump por el equipo foofus.net y otras herramintas que hacen automatica la extracción de hash remoto, volcado de cahe LSA y enumeración de almacenamiento protegido (en breve analizaremos las ultimas dos técnicas). la familia de herramientas pwdump usa la técnica de inyección DLL para insertarse a si misma en un proceso en ejecución privilegiada(por lo general , lsass.exe) para extraer hashes de contraseña.
pwdump 6 funciona de dorma remota por medio de SMB (139 o 445 de TCP), pero no funcionara dentro de un inicio de sesión interactivo (todavía puede usar fgdump para volcado de contraseña interactivo). en el siguiente ejemplo se muestra pwdump6 usado contra un sistema server 2008 con firewall de windows deshabitado:
D:\Toolbox>PwDump.exe -u Administrador -p password 192.168.234.7
pwdump version 1.7.1 by fizzgig and the mighty group at foofus.net
using pepe {2A350DF8-943B-459-B8B2-BA67634374A9}
key lenght is 16
no pw hist
administrator:500:NO PASSWORD ***:3B2F3C28C5CF28E46FED883030:::
George:1002:NO PASSWORD***:D67FB3C2ED420D5F835BDD86A03A0D95:::
Guest :501:NO PASSWORD ***: NO PASSWORD********************:::
Joel:1000:NO PASSWORD***:B39AAA13D03598755689D36A295FC14203C:::
Stuart:1001:NO PASSWORD***:6674086C274856389F3E1AFBFE057BF3:::
COMPLETED
En el tercer campo indica que este servidor no esta almacenado hashes en el formato LM débil.
