pwdump7

Entre las aplicaciones imprescindibles en cualquier auditoría de seguridad, se encuentran aquellas encargadas de extraer las contraseñas de un sistema, para su posterior análisis o cracking

Actualmente existen muchas versiones de herramientas como pwdump o fgdump que se encargan de volcar los hashes de un sistema Windows, para que puedan ser posteriormente descifrados. Cada versión de estas herramientas tiene su propio modo de funcionamiento, creando servicios, inyectando código en procesos del sistema ( lsass ), sin embargo, hay formas de hacer que estas versiones dejen de funcionar, por ejemplo deshabilitando los recursos administrativos, o eliminando privilegios de debug a un usuario administrador.

Pwdump7 sin embargo funciona de una forma totalmente diferente.

Este software funciona con su propio driver de sistema de archivos, usando tecnología del software de detección de rootkits rkdetector de forma que un usuario con privilegios de administración, será capaz de volcar directamente los ficheros de registro SYSTEM y SAM directamente del disco duro.

Una vez volcados, se extraerá la clave de syskey del fichero SYSTEM y se utilizará para generar los hashes lanman y ntlm del fichero de contraseñas sam, en un formato similar al que generan otras versiones de pwdump.

Esta versión es todavía una beta, y necesita alguna funcionalidad mas que se irán añadiendo a lo largo del tiempo.

- Modificación de contraseñas "online", actualizando las contraseñas de cualquier usuario directamente sobre el fichero SAM. De esta forma, no quedarán trazas en el sistema de que el fichero/password ha sido manipulado.
- compilar directamente con openssl (ahora requiere una de las librerías en el path)
- Integrar soporte de contraseñas del directorio activo (a día de hoy se desconoce el formato de las contraseñas almacenadas en el fichero ntds.dit)

Articulo Original en www.514.es