Come ottenere un hash NT dal registro? [chiuso]

-1

Voglio ottenere manualmente l'hash NT dal registro (senza alcuno strumento). Diciamo solo per l'amministratore. So che deve essere memorizzato nell'area SAM del registro da qualche parte così ho cercato di estrarlo da lì. Ho trovato la posizione HKLM \ SAM \ SAM \ Domains \ Account \ Users \ 000001F4 (1F4 = 500 = Admin) e lì il valore "V" con alcuni contenuti binari. L'unica documentazione utile per il binario V è questo link: link ma le informazioni sono molto vecchie e non lo sono certo se questo è ancora corretto con Windows 7 e Windows 8. Inoltre, se estraggo l'hash NT come descritto qui, non corrisponde a quello che ottengo se imposto la password a "123" (mi aspetterei 3dbde697d71690a769204beb12283678, ma ottenuto 1509c04cb2a3e20eba3fde1ac5f8589f). Quindi la domanda ancora: come estrarre manualmente l'hash NT dal registro?

    
posta http 06.07.2013 - 13:26
fonte

2 risposte

2

Come estrarre gli hash dal registro senza strumenti di terze parti

Questa è la semplice risposta alla domanda posta dall'OP:

reg.exe save HKLM\SAM MySam
reg.exe save HKLM\SYSTEM MySys

In questi file sono gli hash dell'utente locale (non AD). Da qui, è possibile scrivere un semplice script esadecimale per estrarre i singoli hash.

La prossima domanda è: sei soddisfatto degli hash, o vuoi decodificarli per le versioni in testo normale? Quella domanda non viene posta, quindi supporrò che non sia desiderata.

Modifica:

Questo post spiega come scrivere metodi per estrarre gli hash.

    
risposta data 08.07.2013 - 23:27
fonte
1

Gli hash sono memorizzati nel file SAM di Windows. Questo file si trova sul tuo sistema (a seconda dei percorsi di installazione) su X: \ Windows \ System32 \ config ma non è accessibile mentre il sistema operativo viene avviato. Questi valori sono anche memorizzati nel registro in HKEY_LOCAL_MACHINE \ SAM , ma anche in questo caso l'area del registro non è accessibile durante l'avvio del sistema operativo.

Esistono metodi (e strumenti) noti per eseguire il reverse engineering degli hash per recuperare le password e viceversa, ma non ti aiuterò perché ...

Questions asking us to break the security of a specific system for you are off-topic unless they demonstrate an understanding of the concepts involved and clearly identify a specific problem.

Modifica

Dato che hai accesso fisico, uno dei metodi più efficaci è quello di avviare il computer in un sistema operativo diverso. Se si ha dimestichezza con Linux, ciò significa che è possibile avviare semplicemente un CD live di Linux in grado di leggere unità NTFS, montare la partizione Windows e copiare il file SAM su un supporto esterno. Lavora su quella copia guardando "SAM \ Dominio \ Account \ Utenti" . Il resto dipende da te.

In un sidenote vorrei avvisarti di giocare con tali aree di sistema se stai usando Encrypted File System (EFS) su qualcosa rilasciato dopo Windows XP / 2003. Se si modifica qualcosa nel posto sbagliato (come reimpostare le password o modificare altri hash), il sistema operativo potrebbe perdere le sue chiavi EFS che introduce una serie di problemi completamente nuovi che non si desidera nemmeno pensare. Ecco perché vorresti solo lavorare con una copia del file SAM.

EDIT 2

Hai appena trovato la domanda precedente " link "e sto iniziando a capire perché continui a chiedere " posizione esatta dell'hash " e " identificazione dell'hash ".

Pertanto, un piccolo promemoria: security.SE non è qui per aiutarti a violare o crackare qualcosa. Controlla le regole invece di ripetere la domanda nell'area dei commenti . Grazie.

    
risposta data 06.07.2013 - 19:45
fonte

Leggi altre domande sui tag