「PwDump」の版間の差分

提供: セキュリティ
移動: 案内検索
行95: 行95:
 
</pre>
 
</pre>
 
</blockquote>
 
</blockquote>
 +
 +
== Windows XP ==
 +
* [[PwDump]] 6 Version 1.7.2 では、正常にダンプできました。
 +
* [[PwDump]] 7.1 では、 PwDump7.exe アプリケーションエラー「アプリケーションを正しく初期化できませんでした (0xc0150002)。\[OK\] をクリックしてアプリケーションを終了してください。」 となりました。
 +
 +
== Windows 8.1 ==
 +
 +
* [[PwDump]] 7.1 でダンプできました。
 +
 +
== PwDump 6 Version 1.7.2 ==
 +
<syntaxhighlight lang="dos">
 +
<BS>sh  5$ csh                       
 +
Generate diaryindex.inc
 +
C:\Documents and Settings\foo\My Documents\pwdump6-1.7.2\PwDumpRelease>PwDump.ex
 +
e
 +
Usage: PwDump.exe [-x][-n][-h][-o output_file][-u user][-p password][-s share] m
 +
achineName
 +
  where -h prints this usage message and exits
 +
  where -o specifies a file to which to write the output
 +
  where -u specifies the user name used to connect to the target
 +
  where -p specifies the password used to connect to the target
 +
  where -s specifies the share to be used on the target, rather than searching f
 +
or one
 +
  where -n skips password histories
 +
  where -x targets a 64-bit host
 +
</syntaxhighlight>
 +
 +
 +
<syntaxhighlight lang="dos">
 +
 +
C:\Documents and Settings\foo\My Documents\pwdump6-1.7.2\PwDumpRelease>PwDump.ex
 +
e localhost
 +
 +
pwdump6 Version 1.7.2 by fizzgig and the mighty group at foofus.net
 +
Copyright 2008 foofus.net
 +
 +
This program is free software under the GNU
 +
General Public License Version 2 (GNU GPL), you can redistribute it and/or
 +
modify it under the terms of the GNU GPL, as published by the Free Software
 +
Foundation.  NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED WITH THIS
 +
PROGRAM.  Please see the COPYING file included with this program
 +
and the GNU GPL for further details.
 +
 +
 +
Administrator:500:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF:::
 +
bar:1005:TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:::
 +
foo:1004:NO PASSWORD*********************:NO PASSWORD*********************:::
 +
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
 +
HelpAssistant:1000:HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:::
 +
SUPPORT_388945a0:1002:NO PASSWORD*********************:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF:::
 +
test:1003:NO PASSWORD*********************:NO PASSWORD*********************:::
 +
Completed.
 +
</syntaxhighlight>
 +
 +
== PwDump 7.1 ==
 +
ダウンロードしたものがわるかったのか、解凍できない [[ZIP]] がありました。
 +
<syntaxhighlight lang="dos">
 +
I C:\Documents and Settings\foo\My Documents\pwdump7.zip - 解凍を開始します。
 +
I  PwDump7.exe - 正常に解凍されました。
 +
I  readme.txt - 正常に解凍されました。
 +
E  libeay32.dll - 正常に解凍できません。CRC が一致しないか、出力先ファイルが使
 +
用中です。
 +
W エラーまたは警告が発生しています。
 +
</syntaxhighlight>
 +
 +
正常に解凍できる [[ZIP]] もあります。
  
 
== 関連項目 ==
 
== 関連項目 ==

2013年9月24日 (火) 00:23時点における版

PwDump は、Windowsのパスワードファイル SAMデータベース からパスワードハッシュを取得するツールです。いくつものバージョンや亜種が存在します。

読み方

PwDump
ぴーだぶりゅーだんぷ (?), ぱすわーどだんぷ (?)

概要

PwDump は、Windowsのパスワードファイル SAMデータベース からパスワードハッシュを取得するツールです。いくつものバージョンや亜種が存在します。

管理者権限が必要ですが、システムキーが有効であっても、DLLインジェクションを利用して、SAMデータベースから、パスワードハッシュを入手できます。


インストール

  • PwDump の配布サイトからダウンロードし、解凍するだけです。

使い方

C:\tmp\pwdump7 に PwDump のファイルを解凍した場合です。

C:\> cd tmp\pwdump7
C:\tmp\pwdump7> PwDump7.exe
C:\tmp\pwdump7> PwDump7.exe > hash.txt

パスワードハッシュのリストは、下記のフォーマットです。

account_name:uid:LM_Hash:NTLM_Hash:::

ハッシュの例は、以下の通りです。

Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537:::

パスワードクラッキング

パスワードクラック は、以下のツールで可能です。

John the Ripperパスワードクラック する方法を Windowsアカウントのパスワードをクラッキングする方法 で説明します。

ウイルス対策ソフトの反応

ウイルス対策ソフト は、PwDump に検出されます。

Windows Defender での例は、以下の通りです。

Windows Defender の警告
検出された項目 警告レベル
HackTool:Win32/PWDump
カテゴリ:
ツール

説明:
このプログラムは、望ましくない動作をする可能性があります。

アドバイス:
プログラムまたはソフトウェア発行者を信頼している場合にのみ、
この検出された項目を許可します。

リソース:
file:
C:\pwdump7\PwDump7.exe

process:
pid:11040

process:
pid:5856

process:
pid:6072

process:
pid:6604

process:
pid:8400

Windows XP

  • PwDump 6 Version 1.7.2 では、正常にダンプできました。
  • PwDump 7.1 では、 PwDump7.exe アプリケーションエラー「アプリケーションを正しく初期化できませんでした (0xc0150002)。\[OK\] をクリックしてアプリケーションを終了してください。」 となりました。

Windows 8.1

  • PwDump 7.1 でダンプできました。

PwDump 6 Version 1.7.2

<BS>sh  5$ csh                        
Generate diaryindex.inc
C:\Documents and Settings\foo\My Documents\pwdump6-1.7.2\PwDumpRelease>PwDump.ex
e
Usage: PwDump.exe [-x][-n][-h][-o output_file][-u user][-p password][-s share] m
achineName
  where -h prints this usage message and exits
  where -o specifies a file to which to write the output
  where -u specifies the user name used to connect to the target
  where -p specifies the password used to connect to the target
  where -s specifies the share to be used on the target, rather than searching f
or one
  where -n skips password histories
  where -x targets a 64-bit host


C:\Documents and Settings\foo\My Documents\pwdump6-1.7.2\PwDumpRelease>PwDump.ex
e localhost
 
pwdump6 Version 1.7.2 by fizzgig and the mighty group at foofus.net
Copyright 2008 foofus.net
 
This program is free software under the GNU
General Public License Version 2 (GNU GPL), you can redistribute it and/or
modify it under the terms of the GNU GPL, as published by the Free Software
Foundation.  NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED WITH THIS
PROGRAM.  Please see the COPYING file included with this program
and the GNU GPL for further details.
 
 
Administrator:500:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF:::
bar:1005:TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:::
foo:1004:NO PASSWORD*********************:NO PASSWORD*********************:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
HelpAssistant:1000:HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:::
SUPPORT_388945a0:1002:NO PASSWORD*********************:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF:::
test:1003:NO PASSWORD*********************:NO PASSWORD*********************:::
Completed.

PwDump 7.1

ダウンロードしたものがわるかったのか、解凍できない ZIP がありました。

I C:\Documents and Settings\foo\My Documents\pwdump7.zip - 解凍を開始します。
I  PwDump7.exe - 正常に解凍されました。
I  readme.txt - 正常に解凍されました。
E  libeay32.dll - 正常に解凍できません。CRC が一致しないか、出力先ファイルが使
用中です。
W エラーまたは警告が発生しています。

正常に解凍できる ZIP もあります。

関連項目