パスワードとSAMとハッシュとテーブル

まずログインパスワードはSAMというファイルにハッシュ化されて保存してあります。

Security account managerでSAMです。

冒頭に張り付けた過去記事でも書いてありますがパスワードは他人が入れないようにする為のものなので

普通にテキストファイルとして保存しておくわけには行きません。

ハッシュという復元できない文字列に変換されて保存されています。

暗号化との違いは、暗号化は複合化ができるので元の文字列に戻すことができます。

ハッシュは元に戻せないので一方通行と言われています。

『悪いがここから先は一方通行だ』

では、ハッシュとなったパスワードをどうやって解析するのか。

そこででてくるのがテーブルです。

Rainbow Tableとかよく海外のフォーラムにアップされてます。

これを使って解析を行います。

例えば

123abcという文字列をmd5という種類のハッシュに変えるとa906449d5769fa7361d7ecc6aa3f6d28となります。

123abc = a906449d5769fa7361d7ecc6aa3f6d28

456def = 5cff08550232faeb28503c57851ac331

789ghi = 39f4772fa46fe196e20a932d35bc528b

というようにパスワードとして使われていそうなものをピックアップして片っ端からハッシュ化させ

リストにしたものをテーブルと呼ぶ、そんな意味合いです。

なのでテーブルに載ってないパスワードは解析できません。

海外のフォーラムにあるのは海外の人が主に使うパスワードをテーブルにしているので

日本人の考えたパスワードは載ってないかもしれないですね。

生年月日やpasswordとかいう組み合わせなら解析できるかと思われます。

SAMファイルのある場所

SAMファイルはC:\Windows\System32\configにあります。

C:\Windows\System32\config

エクスプローラー開いて上記のコマンドをソース検索に張り付けてもいいし

コルタナに聞いてもいいし、windowsキー押してctrl+vでもいいです。

ちなみにSAMファイルにはアクセスできないようになっています。

Ophcrackでユーザーが表示されないときは

左上のLoad → Encrypted SAMでSAMファイルがある場所を指定すればユーザー名を表示できます。

ちなみにSAMファイルは選択できないので一つ上の階層のconfigを選択すればOKです。

そもそもWindowsがインストールされているパーティションが見つからないという方は検索からです。

kali linuxであればDiskというアプリがあるのでそれを開けば場所が書いてあります。

コマンドラインで探す場合はfdisk -lで探します。

$ fdisk -l

/dev/sda5と/dev/sda6にmicrosoft basic data とあるのでどっちかですね。

※追記

pwdumpでハッシュを抜く方法を書きました。

www.htmllifehack.xyz

抜いたハッシュ値をテキストファイルにして保存し、ophcrackでLoadする方法もあります。

まとめ

やっぱり日本語サイトだと解決策がなかなか見つかりません。

中にはすごい人もいるんですけどブログに書いてたりはしないですね。

海外のサイトだとhacking.comみたいなのが結構あります。

英語の勉強もできるので海外フォーラムを漁るのもいいかもしれませんね。