¿Ubicación de los hash de contraseña en una máquina local con Windows?

6

"¿Dónde están las dos ubicaciones donde los hashes de contraseña del usuario se almacenan en una máquina de Windows local?"

Mi lugar de trabajo me hizo esta pregunta. Sé que SAM almacena los hashes de contraseña, ¿dónde estaría la otra ubicación?

    
pregunta Lutefisk 10.02.2016 - 13:14
fuente

2 respuestas

6
  1. C:\windows\system32\config\SAM (Registro: HKLM/SAM )
  2. Memoria del sistema

El archivo SAM se monta en el registro como HKLM/SAM . Windows bloquea este archivo y no lo liberará a menos que se cierre (reiniciar, BSOD, etc.). Sin embargo, si observa la entrada SAM en la sección de registro mencionada anteriormente, no encontrará el hash.

Por lo tanto, parece más que probable que el hash, o la contraseña, también se almacenen en la memoria. De hecho, hay varios crackers de contraseñas que toman su contraseña directamente de la memoria.

    
respondido por el Mark Buffalo 10.02.2016 - 14:04
fuente
5

Hay una ubicación adicional donde almacenan las credenciales de dominio en caché como hashes MSCASH2:

HKEY_LOCAL_MACHINE\Security\Cache

Entonces, si estás hablando de una máquina unida a un dominio, hay tres lugares donde puedes encontrar las credenciales almacenadas.

  1. archivo SAM (necesita tanto C: \ windows \ system32 \ config \ SAM como C: \ windows \ system32 \ config \ system)
  2. Registro (HKEY_LOCAL_MACHINE \ Security \ Cache para credenciales de dominio, HKEY_LOCAL_MACHINE \ SAM para credenciales locales)
  3. En memoria (volcado con mimikatz) - sin embargo, este último no está "almacenado" como está escrito en disco.
respondido por el nyxgeek 10.02.2016 - 18:53
fuente

Lea otras preguntas en las etiquetas