volcado de contraseña

Herramienta de auditoría de seguridad para Windows

pwdump es el nombre de varios programas de Windows que generan los hashes de contraseñas LM y NTLM de las cuentas de usuarios locales desde la base de datos del Administrador de cuentas de seguridad (SAM) y desde el caché de usuarios del dominio de Active Directory en el sistema operativo.

Se utiliza ampliamente para realizar tanto el famoso ataque pass-the-hash como para obtener por fuerza bruta las contraseñas de los usuarios directamente. Para que funcione, debe ejecutarse bajo una cuenta de administrador o poder acceder a una cuenta de administrador en la computadora donde se van a volcar los hashes. Se podría decir que Pwdump compromete la seguridad porque podría permitir que un administrador malintencionado acceda a las contraseñas de los usuarios. ^[1]

Historia

El programa inicial, llamado pwdump, fue escrito por Jeremy Allison . Publicó el código fuente en 1997 (véase open-source ). ^[2] Desde entonces, otros programadores han realizado desarrollos adicionales:

1. pwdump (1997): programa original de Jeremy Allison. ^[3]
2. pwdump2 (2000) — por Todd Sabin de Bindview ( GPL ), utiliza inyección de DLL. ^[4]
3. pwdump3 — por Phil Staubs (GPL), funciona a través de la red.
   • pwdump3e — por Phil Staubs (GPL), envía cifrado a través de la red.
4. pwdump4 — por bingle (GPL), mejora de pwdump3 y pwdump2.
5. pwdump5 — por AntonYo! (programa gratuito).
6. pwdump6 (c. 2006) — de fizzgig (GPL), mejora de pwdump3e. Sin código fuente.
   • fgdump (2007) — por fizzgig, mejora de pwdump6 con complementos. Sin código fuente.
7. pwdump7 — de Andres Tarasco (freeware), utiliza sus propios controladores de sistema de archivos. Sin código fuente.
8. pwdump8 — de Fulvio Zanetti y Andrea Petralia, compatible con hashes cifrados AES128 (Windows 10 y posteriores). Sin código fuente. ^[5]

Notas

1. "Memoria LSASS: informe de detección de amenazas de Red Canary". Red Canary . Consultado el 11 de diciembre de 2023 .
2. Allison 2012 ver pwdump.c
3. Allison 2012.
4. SecuriTeam.com 2017.
5. Matemática negra 2019.Error de sfn: no hay destino: CITEREFBlackmath2019 ( ayuda )

Referencias

• Allison, Jeremy (30 de septiembre de 2012). «Índice de /pub/samba/pwdump». Samba . Consultado el 15 de junio de 2017 .
• Sabin, Todd (1 de febrero de 2017). "La nueva versión de PWDump2 permite el volcado de hashes de contraseñas de Active Directory". SecuriTeam.com . Consultado el 15 de junio de 2017 .
• "pwdump8". forums.hak5.org . 15 de mayo de 2019.