Ist es möglich, den Passwort-Hash eines Benutzers über das Terminal im Wiederherstellungsmodus zu extrahieren?
Sie haben keine spezielle macOS-Version angegeben, aber zumindest in Sierra kann dies folgendermaßen erfolgen:
diskutil list
(z. B. Macintosh HD )im Terminal eingeben:
defaults read /Volumes/<volume_name>/var/db/dslocal/nodes/Default/users/<user_name>.plist ShadowHashData|tr -dc 0-9a-f|/Volumes/<volume_name>/usr/bin/xxd -r -p|/Volumes/<volume_name>/usr/bin/plutil -convert xml1 - -o -
Beispiel (mit dem Namen des Hauptsystemvolumes Macintosh HD und dem Benutzernamen user272783 ):
defaults read /Volumes/Macintosh\ HD/var/db/dslocal/nodes/Default/users/user272783.plist ShadowHashData|tr -dc 0-9a-f|/Volumes/Macintosh\ HD/usr/bin/xxd -r -p|/Volumes/Macintosh\ HD/usr/bin/plutil -convert xml1 - -o -
Wenn Sie einen Dateinamen angeben und als Ziellaufwerk ein ar/w-Volume wählen, können Sie die Datei auf ein Volume schreiben ( ... -o /Volumes/FlashDrive/user272783.plist
)
Bitte überprüfen Sie: In welcher Art von Hash wird das Passwort eines Mac gespeichert?
Harcker