volcado de datos

Herramienta de auditoría de seguridad para Windows

pwdump es el nombre de varios programas de Windows que generan los hashes de contraseñas LM y NTLM de cuentas de usuarios locales desde la base de datos del Administrador de cuentas de seguridad (SAM) y desde la caché de usuarios del dominio Active Directory en el sistema operativo.

Se usa ampliamente para realizar el famoso ataque pass-the-hash o también se puede usar para forzar directamente la contraseña de los usuarios. Para que funcione, debe ejecutarse con una cuenta de Administrador o poder acceder a una cuenta de Administrador en la computadora donde se van a volcar los hashes. Se podría decir que Pwdump compromete la seguridad porque podría permitir que un administrador malintencionado acceda a las contraseñas de los usuarios. ^[1]

Historia

El programa inicial llamado pwdump fue escrito por Jeremy Allison . Publicó el código fuente en 1997 (ver código abierto ). ^[2] Desde entonces ha habido más desarrollos por parte de otros programadores:

1. pwdump (1997) - programa original de Jeremy Allison. ^[3]
2. pwdump2 (2000), de Todd Sabin de Bindview ( GPL ), utiliza inyección de DLL. ^[4]
3. pwdump3 — de Phil Staubs (GPL), funciona a través de la red.
   • pwdump3e : de Phil Staubs (GPL), envía cifrado a través de la red.
4. pwdump4 — por bingle (GPL), mejora en pwdump3 y pwdump2.
5. pwdump5 — por AntonYo! (programa gratuito).
6. pwdump6 (c. 2006) - por fizzgig (GPL), mejora de pwdump3e. Sin código fuente.
   • fgdump (2007) — por fizzgig, mejora de pwdump6 con complementos. Sin código fuente.
7. pwdump7 — de Andrés Tarasco (software gratuito), utiliza controladores de sistema de archivos propios. Sin código fuente.
8. pwdump8 : de Fulvio Zanetti y Andrea Petralia, admite hashes cifrados AES128 (Windows 10 y posteriores). Sin código fuente. ^[5]

Notas

1. "Memoria LSASS: informe de detección de amenazas de Red Canary". Canario Rojo . Consultado el 11 de diciembre de 2023 .
2. Allison 2012 ver pwdump.c
3. Allison 2012.
4. SecuriTeam.com 2017.
5. Blackmath 2019.Error sfn: sin destino: CITEREFBlackmath2019 ( ayuda )

Referencias

• Allison, Jeremy (30 de septiembre de 2012). "Índice de /pub/samba/pwdump". Samba . Consultado el 15 de junio de 2017 .
• Sabin, Todd (1 de febrero de 2017). "La nueva versión de PWDump2 permite volcar hashes de contraseñas de Active Directory". SecuriTeam.com . Consultado el 15 de junio de 2017 .
• "pwdump8". foros.hak5.org . 15 de mayo de 2019.