OS X 10.9: donde se almacenan los hashes de contraseña

10

Creo que en versiones anteriores de OS X, las contraseñas se almacenaron en el archivo / etc / shadow.

Sin embargo, este archivo no parece existir en las versiones posteriores del sistema operativo, específicamente OS X 10.9, que es el primero de los lanzamientos de sistemas operativos con el nombre no cat.

¿Alguien sabe dónde se almacenan los hashes de contraseña en OS X Mavericks?

    
pregunta user4493605 13.05.2015 - 05:03

3 respuestas

14

Comenzando con Lion, OS X introdujo un archivo de sombra por usuario que es un diccionario completo que contiene hashes de contraseñas y otras claves GID / UID / kerberos y de tipo de directorio abierto.

Los archivos de sombra se almacenan en el sistema de archivos en /var/db/dslocal/nodes/Default/users . Están en formato de plist por lo que necesitará para usar el comando plutil para verlos o usarlos el comando predeterminado para extraer / escribir claves específicas si se desea. Solo el usuario root tiene acceso a los archivos.

Para ver el contenido de un archivo de sombra para un usuario:

sudo plutil -p /var/db/dslocal/nodes/Default/users/<username>.plist

Para obtener el hash:

sudo defaults read /var/db/dslocal/nodes/Default/users/<username>.plist ShadowHashData|tr -dc 0-9a-f|xxd -r -p|plutil -convert xml1 - -o -

Donde <username> en los ejemplos anteriores es el usuario que está buscando el hash. Desea que la sección <data> que corresponde a la clave <key>entropy</key> en esa salida plist.

Para continuar, intente descifrar la contraseña vea este tutorial .

    
respondido por el Ian C. 13.05.2015 - 06:30
1

Quiero agregar a la respuesta aceptada, en caso de que alguien intente obtener los hashes de contraseña almacenados en un servidor OS X en Open Directory. Para usuarios de red (OD) necesita

sudo mkpassdb -dump

que te proporcionará una lista de usuarios y sus respectivas ID de ranura. Copie la ID de la ranura completa comenzando con 0x y emita

sudo mkpassdb -dump slot_id_that_you_retrieved

Verá varias entradas de resumen, entre las que * cmusaslsecretSMBNT es el hash de la contraseña NTLM y * cmusaslsecretDIGEST-MD5 es el hash MD5 regular. Haga lo que desee, pero me resultó más fácil enviarlos a enlace , que es un sistema gratuito de craqueo de hash en línea. Servicio. Acepta tu hash y si aún no está en su base de datos comenzará a trabajar en él. Regresa una semana después y debe estar agrietado. Esto ha sido probado en OS X El Capitan y Mac OS Sierra. Es posible que no veas resúmenes si algunos métodos de autenticación se han inhabilitado explícitamente en tu servidor, pero deberían estar allí de forma predeterminada.

    
respondido por el Захар Joe 10.11.2017 - 11:27
-1

Lo busqué en Google y encontré esto: enlace

    
respondido por el spacegeek224 13.05.2015 - 06:34

Lea otras preguntas en las etiquetas