Pwdump
pwdump è un nome di vari programmi per Windows che mostrano gli hash delle password LM e NTLM dell'utente locale dal database SAM (Security Account Manager) e degli utenti di domini Active Directory in cache sul sistema (mscache).
È ampiamente utilizzato, sia per eseguire il famoso attacco pass-the-hash, sia per brute-force delle password degli utenti. Per funzionare, deve essere eseguito sotto un account di amministratore, o essere in grado di accedere a un account di amministratore sul computer in cui gli hash devono essere scaricati. Pwdump compromette la sicurezza di un sistema perché può permettere ad un amministratore malintenzionato di accedere alle password degli utenti.
La maggior parte di questi programmi sono Open Source.
Formato pwdump:
<NomeUtente>:<ID>:<hashLM>:<hashNTLM>:<Commento>:<CartellaHome>:
- pwdump - programma originale di Jeremy Allison (pubblico dominio)
- pwdump2 - di Todd Sabin of Bindview (GPL), usa iniezione DLL
- pwdump3 - by Phil Staubs (GPL), lavora attraverso la rete
- pwdump4 - by bingle (GPL), miglioramento su pwdump3 e pwdump2
- pwdump5 - by AntonYo! (freeware)
- pwdump6 - da fizzgig (GPL), miglioramento di pwdump3e
- fgdump - da fizzgig, miglioramento di wdump6 w/ aggiunte
- pwdump7 - da Andres Tarasco (freeware), usa i driver del file system
- pwdump8 - by Fulvio Zanetti e Andrea Petralia, supporta hash con cifratura AES128 (Windows10 e successive)