Comenzando con Lion, OS X introdujo un archivo de sombra por usuario que es un diccionario completo que contiene hashes de contraseñas y otras claves GID / UID / kerberos y de tipo de directorio abierto.
Los archivos de sombra se almacenan en el sistema de archivos en /var/db/dslocal/nodes/Default/users
. Están en formato de plist por lo que necesitará para usar el comando plutil para verlos o usarlos el comando predeterminado para extraer / escribir claves específicas si se desea. Solo el usuario root
tiene acceso a los archivos.
Para ver el contenido de un archivo de sombra para un usuario:
sudo plutil -p /var/db/dslocal/nodes/Default/users/<username>.plist
Para obtener el hash:
sudo defaults read /var/db/dslocal/nodes/Default/users/<username>.plist ShadowHashData|tr -dc 0-9a-f|xxd -r -p|plutil -convert xml1 - -o -
Donde <username>
en los ejemplos anteriores es el usuario que está buscando el hash. Desea que la sección <data>
que corresponde a la clave <key>entropy</key>
en esa salida plist.
Para continuar, intente descifrar la contraseña vea este tutorial .