Habiendo obtenido acceso físico hacia el sistema en evaluación, y capturados los archivos de nombre SAM y SYSTEM. Los hashes de las contraseñas de un sistema Windows pueden ser extraídos o volcados, para luego intentar obtener las contraseñas en texto plano, y entre ellas obtener la contraseña de la cuenta del usuario Administrador. Esta contraseña podría no ser única para la máquina, y podría funcionar también en un grupo de computadoras sobre la red objetivo de evaluación. Esto permitiría virtualmente un completo control de cualquier computadora de la red, la cual comparta la contraseña.

Los archivos SAM y SYSTEM son archivos en un formato binario.

Se utiliza la herramienta de nombre “samdump2” para obtener la “Syskey” y extrar los hashes desde el archivo SAM. Para el siguiente ejemplo se utilizan los archivos SAM y SYSTEM de un sistema Windows 8.1. La opción “-d” es para depuración.

# samdump2 -d SYSTEM SAM

Obtenidos los Hashes de las contraseñas del Sistema Windows 8.1. Estos pueden ser copiados hacia una archivo.

Se ejecuta la herramienta John The Ripper, para intentar “romper” los hashes de las contraseñas. La opción “--format=NT” indica a John de Ripper el formato del algoritmo para los hashes de las contraseñas. Para este caso se define a Hashes NT, el cual es utilizado por defecto en Windows 8.1.

# john --format=NT HashesWindows81.txt

Dado el hecho la contraseña para el usuario Administrador es débil, esta ha sido obtenida rápidamente.

También es factible utilizar otras opciones para intentar averiguar las contraseñas, como utilizar tablas arco iris o utilizar ataques por diccionario.

Fuentes:

https://linux.die.net/man/1/samdump2
http://www.openwall.com/john/