Penso che nelle versioni precedenti di OS X, la password fosse memorizzata nel file / etc / shadow.
Tuttavia, questo file non sembra esistere nelle versioni successive del sistema operativo, in particolare OS X 10.9, che è il primo dei rilasci del sistema operativo denominato non-cat.
Qualcuno sa dove sono memorizzati gli hash delle password su OS X Mavericks?
A partire da Lion, OS X ha introdotto un file shadow per utente che è un dizionario plist che contiene hash di password e altri codici GID / UID / kerberos e open type.
I file shadow sono memorizzati sul filesystem in /var/db/dslocal/nodes/Default/users . Si trovano in formato plist , quindi è necessario utilizzare il comando plutil per visualizzarli o utilizzarli il comando defaults per estrarre / scrivere chiavi specifiche se lo si desidera. Solo l'utente root ha accesso ai file.
Per visualizzare il contenuto di un file shadow per un utente:
sudo plutil -p /var/db/dslocal/nodes/Default/users/<username>.plist
Per ottenere l'hash:
sudo defaults read /var/db/dslocal/nodes/Default/users/<username>.plist ShadowHashData|tr -dc 0-9a-f|xxd -r -p|plutil -convert xml1 - -o -
Dove <username> negli esempi precedenti è l'utente per cui stai cercando l'hash. Vuoi la sezione <data> che corrisponde alla chiave <key>entropy</key> in quell'output plist.
Per continuare a provare e decifrare la password guarda questo tutorial .
Voglio aggiungere alla risposta accettata, nel caso qualcuno cerchi di ottenere gli hash delle password memorizzati su un OS X Server in Open Directory. Per gli utenti della rete (OD) è necessario
sudo mkpassdb -dump
che ti fornirà un elenco di utenti e dei rispettivi ID di slot. Copia l'intero ID dello slot che inizia con 0x e emette
sudo mkpassdb -dump slot_id_that_you_retrieved
Vedrai diverse voci digest, tra cui * cmusaslsecretSMBNT è l'hash della password NTLM e * cmusaslsecretDIGEST-MD5 è l'hash MD5 regolare. Fai quello che desideri, ma ho trovato più facile inviarlo a link che è un cracking online gratuito di hash servizio. Accetta il tuo hash e se non ancora nel loro database inizieranno a lavorarci su. Torna una settimana dopo e dovrebbe essere rotto. Questo è stato testato su OS X El Capitan e Mac OS Sierra. Potresti non vedere i digest se alcuni metodi di autenticazione sono stati esplicitamente disabilitati sul tuo server ma dovrebbero essere lì per impostazione predefinita.