Creo que en versiones anteriores de OS X, las contraseñas se almacenaron en el archivo / etc / shadow.
Sin embargo, este archivo no parece existir en las versiones posteriores del sistema operativo, específicamente OS X 10.9, que es el primero de los lanzamientos de sistemas operativos con el nombre no cat.
¿Alguien sabe dónde se almacenan los hashes de contraseña en OS X Mavericks?
Comenzando con Lion, OS X introdujo un archivo de sombra por usuario que es un diccionario completo que contiene hashes de contraseñas y otras claves GID / UID / kerberos y de tipo de directorio abierto.
Los archivos de sombra se almacenan en el sistema de archivos en /var/db/dslocal/nodes/Default/users . Están en formato de plist por lo que necesitará para usar el comando plutil para verlos o usarlos el comando predeterminado para extraer / escribir claves específicas si se desea. Solo el usuario root tiene acceso a los archivos.
Para ver el contenido de un archivo de sombra para un usuario:
sudo plutil -p /var/db/dslocal/nodes/Default/users/<username>.plist
Para obtener el hash:
sudo defaults read /var/db/dslocal/nodes/Default/users/<username>.plist ShadowHashData|tr -dc 0-9a-f|xxd -r -p|plutil -convert xml1 - -o -
Donde <username> en los ejemplos anteriores es el usuario que está buscando el hash. Desea que la sección <data> que corresponde a la clave <key>entropy</key> en esa salida plist.
Para continuar, intente descifrar la contraseña vea este tutorial .
Quiero agregar a la respuesta aceptada, en caso de que alguien intente obtener los hashes de contraseña almacenados en un servidor OS X en Open Directory. Para usuarios de red (OD) necesita
sudo mkpassdb -dump
que te proporcionará una lista de usuarios y sus respectivas ID de ranura. Copie la ID de la ranura completa comenzando con 0x y emita
sudo mkpassdb -dump slot_id_that_you_retrieved
Verá varias entradas de resumen, entre las que * cmusaslsecretSMBNT es el hash de la contraseña NTLM y * cmusaslsecretDIGEST-MD5 es el hash MD5 regular. Haga lo que desee, pero me resultó más fácil enviarlos a enlace , que es un sistema gratuito de craqueo de hash en línea. Servicio. Acepta tu hash y si aún no está en su base de datos comenzará a trabajar en él. Regresa una semana después y debe estar agrietado. Esto ha sido probado en OS X El Capitan y Mac OS Sierra. Es posible que no veas resúmenes si algunos métodos de autenticación se han inhabilitado explícitamente en tu servidor, pero deberían estar allí de forma predeterminada.
Lo busqué en Google y encontré esto: enlace