¿Windows tiene un almacén de contraseñas incorporado?

7

¿Qué contraseñas se almacenan en Microsoft Windows? ¿Cómo puedo saber qué contraseña se guarda en la computadora?

    
pregunta user52633 25.07.2014 - 02:22
fuente

4 respuestas

7

Credenciales de Windows

Sí, se almacenan con hash dentro de los archivos en el directorio c:\Windows\System32\Config\ . Necesitará los archivos SAM y system . Sin embargo, una copia de seguridad de estos archivos se puede almacenar en la carpeta de reparación de Windows en c:\Windows\Repair\ . SAM contiene las contraseñas con hash, sin embargo, se cifran usando la clave de inicio dentro del archivo system .

Si Windows se está ejecutando y necesita acceso a los archivos bloqueados en la carpeta Config (por ejemplo, sabe que los archivos en Repair están desactualizados), puede extraiga estos archivos utilizando regedit .

C:\>reg.exe save HKLM\SAM sam
The operation completed successfully
C:\>reg.exe save HKLM\SYSTEM sys
The operation completed successfully

Una alternativa es usar una herramienta como Pwdump que puede extraer los hashes almacenados dentro de SAM / system archiva directamente sin la necesidad de usar regedit o descifrado manual del SAM usando la clave de arranque.

Las contraseñas de Windows también se pueden almacenar en la memoria caché. Editor de credenciales de Windows puede extraer estos valores en texto sin formato del paquete Autenticación resumida de Windows.

C:\>wce -w
WCE v1.3beta (Windows Credentials Editor) - (c) 2010,2011,2012 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity com)
Use -h for help.


test\MYDOMAIN:mypass1234
NETWORK SERVICE\WORKGROUP:test

Necesitará acceso de administrador local para hacer todo lo anterior, a menos que pueda montar la partición desde otra máquina para acceder directamente a los archivos en el primer caso.

Credenciales de red

Las contraseñas de red se almacenan dentro de Windows Vault / Credential Manager :

Herramientascomo Decryptor de contraseña de Windows Vault pueden extraer y descifrar estos.

    
respondido por el SilverlightFox 25.07.2014 - 10:39
fuente
3

Para acceder a las contraseñas de Windows, necesitará tanto el archivo SAM como el archivo de C: / WINDOWS / SYSTEM32 / config

En un Distro de Linux, como Kali-linux, puede usar el comando "bkhive SYSTEM bootkey" para obtener la clave de arranque del archivo del sistema. Luego, use el comando "samdump2 SAM bootkey > samdump.txt" para obtener el volcado de hash del archivo SAM.

Si abre el archivo, verá líneas similares a las siguientes:

admin: 1006: SIN CONTRASEÑA *********************: 44bf0244f032ca8baaddda0fa9328bf8 :::

Esto significa que la contraseña NTLM de la cuenta de administrador es "44bf0244f032ca8baaddda0fa9328bf8".

Si ves algo como:

admin: 1006: 37035b1c4ae2b0c54a15db05d307b01b: 44bf0244f032ca8baaddda0fa9328bf8 :::

Esto significa que la PC tiene hash LM habilitados. En este caso, el hash LM es "37035b1c4ae2b0c54a15db05d307b01b". Los hash de LM son fáciles de descifrar, tienen la fuerza de una contraseña de 7 caracteres (búsquelo en wikipedia para saber por qué).

Los archivos SAM y SYSTEM generalmente se obtienen cuando se apaga la PC. Sin embargo, existe una técnica para obtener los archivos cuando la PC está encendida, usando la copia de volumen de sombra, que está disponible en las versiones modernas de Windows. Esencialmente, esto le permite realizar una copia de seguridad del sistema en ejecución, y puede extraer el archivo SAM y SYSTEM de esa copia de seguridad. Google es tu amigo, hay muchos artículos que explican esta técnica en detalle.

    
respondido por el Sardoc 25.07.2014 - 07:04
fuente
1

Sí, Widnows guarda las contraseñas de los usuarios en 3 archivos:

  1. Archivo Windows\System32\Config\SAM (sin extensión).
  2. Windows\System32\Config\SAM.sav : es una copia del primero
  3. Windows\System32\Config\SAM.log Un registro de transacciones de cambios.

Para acceder a estos archivos, ejecute Start/CMD y escriba %SystemRoot% y luego seleccione la subcarpeta system32\config .

Estos archivos no pueden ser leídos, eliminados o modificados de ninguna manera por el usuario.

EstosarchivosseusandirectamenteyseleendeestaclavederegistrodeWindows:HKEY_LOCAL_MACHINE\SAM:

    
respondido por el user45139 25.07.2014 - 07:37
fuente
0

Todas las contraseñas de cuentas de usuarios locales se almacenan dentro de Windows. Se encuentran dentro de C:\windows\system32\config\SAM . Si la computadora se usa para iniciar sesión en un dominio, el nombre de usuario y la contraseña también se almacenan, por lo que es posible iniciar sesión en la computadora cuando no esté conectado al dominio.

Para ver qué contraseñas están almacenadas actualmente en una computadora, puede usar un programa como Cain and Abel para ver Los diferentes usuarios y sus correspondientes contraseñas de hash. Cain y Abel también te permitirán intentar descifrar las contraseñas si tienes suficiente tiempo libre.

    
respondido por el JekwA 25.07.2014 - 02:28
fuente

Lea otras preguntas en las etiquetas