PwDump

PwDump は、Windowsのパスワードファイル SAMデータベースからハッシュ化されたパスワード (パスワードのハッシュ)を取得するツールです。いくつものバージョンや亜種が存在します。PwDumpで得られるパスワードは、ハッシュであるため、クリアテキストなパスワードを得るには、パスワードクラックを必要とします。PwDumpはウイルスではありませんが、クラッキングツールであるため、ウイルス対策ソフトに検知されます。Windows 10でも利用可能です。

読み方

PwDump: ぴーだぶりゅーだんぷ, ぱすわーどだんぷ

概要

PwDump は、Windowsのパスワードファイル SAMデータベースからパスワードのハッシュを取得するツールです。いくつものバージョンや亜種が存在します。

管理者権限が必要ですが、システムキーが有効であっても、DLLインジェクションを利用して、SAMデータベースから、パスワードハッシュを入手できます。

インストール

PwDump の配布サイトからダウンロードし、解凍するだけです。

使い方

C:\tmp\pwdump7 に PwDump のファイルを解凍した場合です。

C:\> cd tmp\pwdump7
C:\tmp\pwdump7> PwDump7.exe
C:\tmp\pwdump7> PwDump7.exe > hash.txt

パスワードハッシュのリストは、下記のフォーマットです。

account_name:uid:LM_Hash:NTLM_Hash:::

パスワードハッシュは、２種類あります。どちらか片方、もしくは、両方のハッシュがダンプされます。Windows のバージョンや設定によって異なります。

LM_Hash: LMハッシュ
NTLM_Hash: NTLMハッシュ

ハッシュの例は、以下の通りです。

Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537:::

パスワードクラッキング

PwDumpでダンプしたパスワードは、ハッシュであるため、クリアテキストなパスワードを取得するには、パスワードクラックしなければなりません。パスワードクラックは、以下のツールで可能です。

John the Ripper でパスワードクラックする方法を Windowsアカウントのパスワードをクラッキングする方法で説明します。

ウイルス対策ソフトの反応

ウイルス対策ソフトは、PwDump に検出されます。

Windows Defender での例は、以下の通りです。

Windows Defender の警告
検出された項目	警告レベル
HackTool:Win32/PWDump	中

カテゴリ:
ツール

説明:
このプログラムは、望ましくない動作をする可能性があります。

アドバイス:
プログラムまたはソフトウェア発行者を信頼している場合にのみ、
この検出された項目を許可します。

リソース:
file:
C:\pwdump7\PwDump7.exe

process:
pid:11040

process:
pid:5856

process:
pid:6072

process:
pid:6604

process:
pid:8400

Windowsに対する動作の確認

Windows XP

Windows XP では、pwdump6 Version 1.7.2 では、正常にダンプできました。
pwdump 7.1 では、 PwDump7.exe アプリケーションエラー「アプリケーションを正しく初期化できませんでした (0xc0150002)。\[OK\] をクリックしてアプリケーションを終了してください。」となりました。

Windows 8.1

Windows 8.1 では、PwDump 7.1 でダンプできました。

Windows 10

Windows 10 では、PwDump 7.1 でパスワードハッシュを抽出できました。

pwdump6 Version 1.7.2

コマンドラインオプション

C:\Documents and Settings\foo\My Documents\pwdump6-1.7.2\PwDumpRelease>PwDump.exe
Usage: PwDump.exe [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineName
  where -h prints this usage message and exits
  where -o specifies a file to which to write the output
  where -u specifies the user name used to connect to the target
  where -p specifies the password used to connect to the target
  where -s specifies the share to be used on the target, rather than searching for one
  where -n skips password histories
  where -x targets a 64-bit host

C:\Documents and Settings\foo\My Documents\
pwdump6-1.7.2\PwDumpRelease>PwDump.exe localhost
 
pwdump6 Version 1.7.2 by fizzgig and the mighty group at foofus.net
Copyright 2008 foofus.net
 
This program is free software under the GNU
General Public License Version 2 (GNU GPL), you can redistribute it and/or
modify it under the terms of the GNU GPL, as published by the Free Software
Foundation.  NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED WITH THIS
PROGRAM.  Please see the COPYING file included with this program
and the GNU GPL for further details.
 
 
Administrator:500:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF:::
bar:1005:TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:::
foo:1004:NO PASSWORD*********************:NO PASSWORD*********************:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
HelpAssistant:1000:HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:::
SUPPORT_388945a0:1002:NO PASSWORD*********************:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF:::
test:1003:NO PASSWORD*********************:NO PASSWORD*********************:::
Completed.

PwDump 7.1

ダウンロードしたものがわるかったのか、解凍できない ZIP がありました。

I C:\Documents and Settings\foo\My Documents\pwdump7.zip - 解凍を開始します。
I 　PwDump7.exe - 正常に解凍されました。
I 　readme.txt - 正常に解凍されました。
E 　libeay32.dll - 正常に解凍できません。CRC が一致しないか、出力先ファイルが使
用中です。
W エラーまたは警告が発生しています。

正常に解凍できる ZIP もあります。

PwDumpのバージョン

pwdump オリジナル

Windows NT マシンのWindows NTのレジストリ(HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users)にあるパスワードデータベースを smbpasswd フォーマットファイルにダンプするユーテリティです。

PwDump (無印) は、オリジナルのプログラムです。もし、PwDump を使用したいなら、もっと新しく再実装されている PwDump 6 や PwDump 7.1 などを利用します。

pwdump2

pwdump2 は、 Windows NT / Windows 2000 向けです。 Windows NT の SAMデータベースのパスワードハッシュをダンプするアプリケーションです。 Windows NT では、SysKey による保護を追加できます。

このプログラムは、オリジナルの PwDump と同じフォーマットで出力します。ダンプするためには、 SeDebugPrivilege の権限が必要です。デフォルトでは、アドミニストレータだけが SeDebugPrivilege の権限を持ちます。

pwdump3 / pwdump3e

Windows NT / Windows 2000 向けです。

このアプリケーションは、PwDump と PwDump 2 を改良したものです。

pwdump3 は、SysKey が有効であろうとなかろうとネットワーク経由で動作します。 pwdump2 から pwdump3 の一番大きい改良は、ネットワークアドミニストレータにリモートのWindows NT システムからパスワードハッシュを取得できることです。

pwdump3e は、ネットワークに送信する前に、パスワードハッシュの情報の暗号化して保護する機能を提供します。ネットワークでパスしない共通鍵の生成には、ディフィー・ヘルマン鍵交換を使用し、ハッシュの保護のために Windows Crypto API を使用します。

pwdump4

Windows NT / Windows 2000 向けです。 pwdump4 は、pwdump3 の改良を試みたバージョンです。 pwdump3 が失敗していたケースで、機能するでしょう。

pwdump5

Windows NT / Windows 2000 / Windows XP / Windows 2003 向けです。

pwdump5 は、システム上で SysKey が有効になっていても、SAMデータベースからパスワードハッシュをダンプするアプリケーションです。もし、SysKey が云う億な場合は、プログラムは、パスワードハッシュの暗号化/復号に使われている 128bit 暗号キーを取り出します。

pwdump6

Windows NT / Windows 2000 / Windows XP / Windows 2003 / Windows Vista (64bit含む) 向けです。 pwdump 6 1.7.2

pwdump6 は、pwdump3e のバージョンから重要な変更がなされました。このプログラムは、SysKey が有効であるかに関わらず、ターゲットのWindows から LMハッシュ / NTLMハッシュを取り出すプログラムです。現在、クライアントとターゲットの間のデータ転送は、暗号化されません。

pwdump7

Windows NT ファミリー / Windows 7 / Windows Vista 向けです。 pwdump 7 version 7.1

pwdump7 は、ローカルファイルシステムに対して動作します。ディスクの SYSTEM と SAMデータベースの両方に直接アクセスできるアドミニストレータの権限が必要です。一度ダンプしたら、SysKey は、SYSTEM から取り出され、LMハッシュ / NTLMハッシュを復号し、 pwdump ライクなフォーマットで出力します。

pwdump7 Version 7.1

pwdump7.exe (システムのパスワードをダンプします)
pwdump7.exe -s <samfile> <systemfile> (ファイルからパスワードをダンプします)
pwdump7.exe -d <filename> [destionation] (filename から destionation にコピーします)
pwdump7.exe -h (ヘルプを表示します)

ダウンロードは、 http://www.tarasco.org/security/pwdump_7/pwdump7.zip からできます。