Usuarios del Sistema:
El sistema operativo Windows tiene una base de datos que almacena los usuarios locales y remotos, la información de actividad, contraseñas entre otras cosas. Esta base de datos de llama Security Account Manager (SAM).
El password de los usuarios es almacenado en un formato hashed in un hive registry ya sea como LM hash o como NTLM hash. SAM es ubicada como archivo en la siguiente ruta %SystemRoot%/system32/config/SAM y es montada en el regedit como HKEY_LOCAL_MACHINE\SAM, este registro no es fácilmente accesible desde el regedit, para poder visualizarlo se debe de extraer a traves de multiples herramientas, por ejemplo reg.exe, es una herramienta de windows que permite exportar esta base de dato a un archivo.
Estos archivos exportados luego pueden ser visualizados con aplicaciones como por ejemplo Registry Viewer.
reg.exe save HKLM\SYSTEM MySys
reg.exe save HKLM\SAM mySAM
Ahora para consultar el archivo se utilizara la herramienta Registry Viewer, esta puede ser facilmente descargable su version demo desde la siguiente direccion:
https://accessdata.com/product-download/registry-viewer-1-8-0-5
La información de los usuarios se puede encontrar en la ruta:
HKLM\SAM\SAM\domains\account\users\<userRID>\V
wmic useraccount where name=<USUARIO> get sid
Estos archivos exportados luego pueden ser visualizados con aplicaciones como por ejemplo Registry Viewer.
reg.exe save HKLM\SYSTEM MySys
reg.exe save HKLM\SAM mySAM
Ahora para consultar el archivo se utilizara la herramienta Registry Viewer, esta puede ser facilmente descargable su version demo desde la siguiente direccion:
https://accessdata.com/product-download/registry-viewer-1-8-0-5
La información de los usuarios se puede encontrar en la ruta:
HKLM\SAM\SAM\domains\account\users\<userRID>\
wmic useraccount where name=<USUARIO> get sid
Por ejemplo para obtener el SID del usuario invitado podemos ejecutar el siguiente comando:
wmic useraccount where name="invitado" get sid
SID
S-1-5-21-2048156613-3159572416-2875287908-501
Para realizar el proceso inverso a partir del SID obtener el usuario ejecute el siguiente comando:
wmic useraccount where sid='S-1-5-21-2048156613-3159572416-2875287908-500' get name
Ahora en el archivo SAM no se va a encontrar en decimal esto lo va atrabajar en hexadecimal, entonces se tendrá que convertir del numero 501 a hex.
Esto seria igual a: 501 DEC = 1F5 HEX
https://ad-pdf.s3.amazonaws.com/Forensic_Determination_Users_Logon_Status.pdf
https://en.wikipedia.org/wiki/Security_Account_Manager
http://www.beginningtoseethelight.org/ntsecurity/index.htm
https://msdn.microsoft.com/en-us/library/cc246018.aspx?f=255&MSPPError=-2147217396
https://www.cronicasdeuninformatico.com/2015/08/obtener-el-sid-de-un-usuario-en-windows.html
http://www.forensicfocus.com/Forums/viewtopic/t=5539/
https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
https://medium.com/@petergombos/lm-ntlm-net-ntlmv2-oh-my-a9b235c58ed4
https://resources.infosecinstitute.com/windows-registry-analysis-regripper-hands-case-study-2/#gref
No hay comentarios:
Publicar un comentario