¿Cómo obtener un hash NT del registro? [cerrado]

Question

¿Cómo obtener un hash NT del registro? [cerrado]

#1 de schroeder (2 votos)
#2 de e-sushi (1 votos)

-1

Quiero obtener manualmente el hash NT del registro (sin ninguna herramienta). Digamos solo para el administrador. Sé que se debe almacenar en el área SAM del registro en algún lugar, así que intenté extraerlo desde allí. Encontré la ubicación HKLM \ SAM \ SAM \ Domains \ Account \ Users \ 000001F4 (1F4 = 500 = Admin) y ahí está el valor "V" con algún contenido binario. La única documentación útil para el binario V es este enlace: enlace pero esa información es muy antigua y no lo soy. seguro si eso sigue siendo correcto con Windows 7 actual y Windows 8. Además, si extraigo el hash NT como se describe allí, no coincide con lo que obtengo si configuro la contraseña a "123" (esperaría 3dbde697d71690a769204beb12283678, pero obtuve 1509c04cb2a3e20eba3fde1ac5f8589f). Entonces la pregunta de nuevo: ¿Cómo extraer manualmente el hash de NT del registro?

authentication hash

pregunta http 06.07.2013 - 13:26

fuente

2 respuestas

Lea otras preguntas en las etiquetas authentication hash

Seguridad y privacidad en el correo electrónico y otras comunicaciones [cerrado] ¿Puedo 'almacenar' la contraseña, haciéndola la clave en AES-256?

score 2 · Answer 1

Cómo extraer los hashes del registro sin herramientas de terceros

Esta es la respuesta básica a la pregunta planteada por el OP:

reg.exe save HKLM\SAM MySam
reg.exe save HKLM\SYSTEM MySys

En estos archivos se encuentran los hashes del usuario local (no AD). Desde aquí, se puede escribir un script hexadecimal simple para extraer los hashes individuales.

La siguiente pregunta es: ¿está satisfecho con los hashes justos o desea realizar una ingeniería inversa a las versiones de texto simple? Esa pregunta no se hace, por lo que asumiré que no se desea.

Editar:

Esta publicación explica cómo escribir secuencias para extraer hashes.

score 1 · Answer 2

Los hashes se almacenan en el archivo SAM de Windows. Este archivo se encuentra en su sistema (según las rutas de instalación) en X: \ Windows \ System32 \ config , pero no está disponible mientras se inicia el sistema operativo. Estos valores también se almacenan en el registro en HKEY_LOCAL_MACHINE \ SAM , pero nuevamente esta área del registro tampoco es accesible mientras se inicia el sistema operativo.

Existen formas (y herramientas) conocidas para aplicar ingeniería inversa a los hashes para recuperar las contraseñas y viceversa, pero no voy a ayudarlo con eso porque ...

Las preguntas que nos piden que rompamos la seguridad de un sistema específico para usted están fuera de tema a menos que demuestren una comprensión de los conceptos involucrados e identifiquen claramente un problema específico.

EDIT

Ya que tiene acceso físico, uno de los métodos más efectivos es iniciar la computadora en un sistema operativo diferente. Si se siente cómodo usando Linux, entonces esto significa que simplemente puede iniciar desde un CD vivo de Linux que sea capaz de leer unidades NTFS, montar la partición de Windows y copiar el archivo SAM en un medio externo. Trabaje en esa copia mirando “SAM \ Domain \ Account \ Users” . El resto depende de ti.

En una nota al margen, me gustaría advertirle acerca de jugar con dichas áreas del sistema si está utilizando el Sistema de archivos cifrados (EFS) en cualquier cosa lanzada después de Windows XP / 2003. Si cambia algo en el lugar equivocado (por ejemplo, restablecer contraseñas o modificar otros hash), el sistema operativo podría perder sus claves EFS, lo que presenta una serie de problemas completamente nuevos en los que ni siquiera quiere pensar. Es por eso que solo querrá trabajar con una copia del archivo SAM.

EDIT 2

Acabo de encontrar tu pregunta anterior " enlace "y estoy empezando a entender por qué sigues preguntando por " ubicación exacta de hash " y " identificación de hash ".

Por lo tanto, un pequeño recordatorio: security.SE no está aquí para ayudarlo a piratear o descifrar nada. Compruebe las reglas en lugar de hacer un bucle con la pregunta en el área de comentarios. . Gracias.