Answers:
从Lion开始,OS X为每个用户引入了一个影子文件,这是一个plist词典,其中包含密码哈希和其他GID / UID / kerberos以及打开的目录类型键。
影子文件存储在文件系统上/var/db/dslocal/nodes/Default/users。它们为plist格式,因此您需要使用plutil命令查看它们,或使用defaults命令提取/写入特定键。只有root用户有权访问文件。
要查看用户的影子文件的内容:
sudo plutil -p /var/db/dslocal/nodes/Default/users/<username>.plist
获取哈希:
sudo defaults read /var/db/dslocal/nodes/Default/users/<username>.plist ShadowHashData|tr -dc 0-9a-f|xxd -r -p|plutil -convert xml1 - -o -
当<username>在上面的例子是,你要寻找的哈希值的用户。您需要与该plist输出中<data>的<key>entropy</key>键相对应的部分。
要继续尝试破解密码,请参阅本教程。
sudo defaults read /var/db/dslocal/nodes/Default/users/${USER}.plist显示你?
我想添加到已接受的答案中,以防万一有人试图获取存储在Open Directory中OS X Server上的密码哈希。对于网络(OD)用户,您需要
sudo mkpassdb -dump
这将为您提供用户列表及其各自的插槽ID。复制以0x开头的整个插槽ID,然后发出
sudo mkpassdb -dump slot_id_that_you_retrieved
您将看到几个摘要条目,其中* cmusaslsecretSMBNT是NTLM密码哈希,而* cmusaslsecretDIGEST-MD5是常规MD5哈希。随便使用那些您想要的东西,但是我发现将它们提交到https://hashkiller.co.uk/ntlm-decrypter.aspx是一件更容易的事,这是一个免费的在线哈希破解服务。它接受您的哈希,如果尚未在他们的数据库中,它将开始对其进行处理。一个星期后返回,应该会破裂。这已经在OS X El Capitan和Mac OS Sierra上进行了测试。如果某些身份验证方法已在服务器上显式禁用,则您可能看不到摘要,但默认情况下它们应在此处。
我在Google上进行了查找,发现了以下内容:http : //hackmac.org/forum/topic/2678-ceacking-os-x-mountain-lion-os-x-mavericks-os-x-yosemite-account-password