Herramienta de auditoría de seguridad para Windows
pwdump es el nombre de varios programas de Windows que generan los hashes de contraseñas LM y NTLM de cuentas de usuarios locales desde la base de datos del Administrador de cuentas de seguridad (SAM) y desde la caché de usuarios del dominio Active Directory en el sistema operativo.
Se usa ampliamente para realizar el famoso ataque pass-the-hash o también se puede usar para forzar directamente la contraseña de los usuarios. Para que funcione, debe ejecutarse con una cuenta de Administrador o poder acceder a una cuenta de Administrador en la computadora donde se van a volcar los hashes. Se podría decir que Pwdump compromete la seguridad porque podría permitir que un administrador malintencionado acceda a las contraseñas de los usuarios. [1]
Historia
El programa inicial llamado pwdump fue escrito por Jeremy Allison . Publicó el código fuente en 1997 (ver código abierto ). [2] Desde entonces ha habido más desarrollos por parte de otros programadores:
- pwdump (1997) - programa original de Jeremy Allison.
- pwdump2 (2000), de Todd Sabin de Bindview ( GPL ), utiliza inyección de DLL.
- pwdump3 — de Phil Staubs (GPL), funciona a través de la red.
- pwdump3e : de Phil Staubs (GPL), envía cifrado a través de la red.
- pwdump4 — por bingle (GPL), mejora en pwdump3 y pwdump2.
- pwdump5 — por AntonYo! (programa gratuito).
- pwdump6 (c. 2006) - por fizzgig (GPL), mejora de pwdump3e. Sin código fuente.
- fgdump (2007) — por fizzgig, mejora de pwdump6 con complementos. Sin código fuente.
- pwdump7 — de Andrés Tarasco (software gratuito), utiliza controladores de sistema de archivos propios. Sin código fuente.
- pwdump8 : de Fulvio Zanetti y Andrea Petralia, admite hashes cifrados AES128 (Windows 10 y posteriores). Sin código fuente.
Notas
- ^ "Memoria LSASS: informe de detección de amenazas de Red Canary". Canario Rojo . Consultado el 11 de diciembre de 2023 .
- ^ Allison 2012 ver pwdump.c
Referencias
- Allison, Jeremy (30 de septiembre de 2012). "Índice de /pub/samba/pwdump". Samba . Consultado el 15 de junio de 2017 .
- Sabin, Todd (1 de febrero de 2017). "La nueva versión de PWDump2 permite volcar hashes de contraseñas de Active Directory". SecuriTeam.com . Consultado el 15 de junio de 2017 .
- "pwdump8". foros.hak5.org . 15 de mayo de 2019.