How to extract SAM hashs using PWdump7

บทนำ (Overview)

เราสามารถที่จะดึงไฟล์รหัสผ่านที่ถูก “Hashes” ไว้ของ “Windows” เพื่อนำไปถอดรหัสได้ภายหลังแบบ “Offline” โดยใช้โปรแกรมที่เรียกว่า “PWdump7”

ขั้นตอน (Steps)

  1. ดาวน์โหลดโปรแกรมจาก http://www.tarasco.org/security/pwdump_7/pwdump7.zip
  2. ในการ “Run” โปรแกรมต้องได้สิทธิ “Administrator”
  3. ลองเปิด “command prompt” จากนั้นลองใช้คำสั่งดังนี้
    C:\Documents and Settings\User\Desktop\Data\pwdump7>PwDump7.exe > hash.txt
    Pwdump v7.1 - raw password extractor
    Author: Andres Tarasco Acuna
    url: http://www.514.es
    
  4. ลองเรียกตัวโปรแกรม ตามด้วยสร้างชื่อไฟล์เพื่อใช้ในการบันทึกค่า hash ของ windows ( > “ชื่อไฟล์”)
  5. ทดลองเปิดๆ ไฟล์ที่บันทึกเอาไว้ (hash.txt)
    Administrator:500:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
    Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
    HelpAssistant:1000:8B2BE72D6884315A3D3170FCCFC2B406:AC9ECAC02D11D3938329D9B80D1F227E:::
    SUPPORT_388945a0:1002:NO PASSWORD*********************:C1A34F21A21A9AD74E779E9A5366A1DE:::
    ASPNET:1003:8E9F8344E16ED9F79AE55BF81A663369:AA912E8353E2BE84EAA64C8B908212CD:::
    DT User:1004:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
    test1:1005:624AAC413795CDC1AAD3B435B51404EE:C5A237B7E9D8E708D8436B6148A25FA1:::
    oat:1006:B757BF5C0D87772FAAD3B435B51404EE:7CE21F17C0AEE7FB9CEBA532D0546AD6:::
    
  6. เมื่อได้ไฟล์ดังกล่าวเราสามารถ “Crack password” แบบ “Offline” ได้โดยใช้โปรแกรม “LCP” (How to remotely recover the Windows passwords)
  7. เปิดโปรแกรม “LCP” จากนั้นเลือกเมนู “Import > Import From PwDump File…”lcpPwdump
  8. เราก็สามารถใช้ “Function” ของการ  “Dictionary” และ “Brute-force” ได้ตามปกติ lcpPwdump2

ใส่ความเห็น