Comenzando con Lion, OS X introdujo un archivo oculto por usuario que es un diccionario simple que contiene hashes de contraseña y otros GID / UID / kerberos y claves de tipo de directorio abierto.
Los archivos de sombra se almacenan en el sistema de archivos en /var/db/dslocal/nodes/Default/users
. Están en formato plist, por lo que deberá utilizar el comando plutil para verlos o utilizar el comando predeterminado para extraer / escribir claves específicas si lo desea. Solo el root
usuario tiene acceso a los archivos.
Para ver el contenido de un archivo de sombra para un usuario:
sudo plutil -p /var/db/dslocal/nodes/Default/users/<username>.plist
Para obtener el hash:
sudo defaults read /var/db/dslocal/nodes/Default/users/<username>.plist ShadowHashData|tr -dc 0-9a-f|xxd -r -p|plutil -convert xml1 - -o -
Donde <username>
en los ejemplos anteriores es el usuario que está buscando el hash. Desea la <data>
sección que corresponde a la <key>entropy</key>
clave en esa salida de plist.
Para continuar intentando descifrar la contraseña, consulte este tutorial .