OS X 10.9: dove sono memorizzati gli hash delle password

10

Penso che nelle versioni precedenti di OS X, la password fosse memorizzata nel file / etc / shadow.

Tuttavia, questo file non sembra esistere nelle versioni successive del sistema operativo, in particolare OS X 10.9, che è il primo dei rilasci del sistema operativo denominato non-cat.

Qualcuno sa dove sono memorizzati gli hash delle password su OS X Mavericks?

    
posta user4493605 13.05.2015 - 05:03
fonte

3 risposte

15

A partire da Lion, OS X ha introdotto un file shadow per utente che è un dizionario plist che contiene hash di password e altri codici GID / UID / kerberos e open type.

I file shadow sono memorizzati sul filesystem in /var/db/dslocal/nodes/Default/users . Si trovano in formato plist , quindi è necessario utilizzare il comando plutil per visualizzarli o utilizzarli il comando defaults per estrarre / scrivere chiavi specifiche se lo si desidera. Solo l'utente root ha accesso ai file.

Per visualizzare il contenuto di un file shadow per un utente:

sudo plutil -p /var/db/dslocal/nodes/Default/users/<username>.plist

Per ottenere l'hash:

sudo defaults read /var/db/dslocal/nodes/Default/users/<username>.plist ShadowHashData|tr -dc 0-9a-f|xxd -r -p|plutil -convert xml1 - -o -

Dove <username> negli esempi precedenti è l'utente per cui stai cercando l'hash. Vuoi la sezione <data> che corrisponde alla chiave <key>entropy</key> in quell'output plist.

Per continuare a provare e decifrare la password guarda questo tutorial .

    
risposta data 13.05.2015 - 06:30
fonte
1

Voglio aggiungere alla risposta accettata, nel caso qualcuno cerchi di ottenere gli hash delle password memorizzati su un OS X Server in Open Directory. Per gli utenti della rete (OD) è necessario

sudo mkpassdb -dump

che ti fornirà un elenco di utenti e dei rispettivi ID di slot. Copia l'intero ID dello slot che inizia con 0x e emette

sudo mkpassdb -dump slot_id_that_you_retrieved

Vedrai diverse voci digest, tra cui * cmusaslsecretSMBNT è l'hash della password NTLM e * cmusaslsecretDIGEST-MD5 è l'hash MD5 regolare. Fai quello che desideri, ma ho trovato più facile inviarlo a link che è un cracking online gratuito di hash servizio. Accetta il tuo hash e se non ancora nel loro database inizieranno a lavorarci su. Torna una settimana dopo e dovrebbe essere rotto. Questo è stato testato su OS X El Capitan e Mac OS Sierra. Potresti non vedere i digest se alcuni metodi di autenticazione sono stati esplicitamente disabilitati sul tuo server ma dovrebbero essere lì per impostazione predefinita.

    
risposta data 10.11.2017 - 11:27
fonte
-1

Ho cercato su Google e ho trovato questo: link

    
risposta data 13.05.2015 - 06:34
fonte

Leggi altre domande sui tag