05 novembre 2012

Récupération de password sur Linux

Récupération de password sur Linux

Linux shadow
Il existe plusieurs méthodes comme le boot en single user mais je vais poster celle que je préfère.

Procédure de destruction du password

Booter sur un live CD :

  • Booter sur Ubuntu en Live ou RescueCD par exemple afin d'obtenir un shell sur le host.

Monter la partition racine (système) :

  • Monter la partition en cohérence avec votre système dans le répertoire de votre choix :
mount -o ro /dev/sda1 /mnt

Editer le fichier shadow :

  • Le fichier /etc/shadow contient les mots de passe et l'information sur l'expiration des comptes pour les utilisateurs et ressemble à ça: 
test:Ep6mckrOLChF.:10063:0:99999:7:::



Comme avec le fichier passwd, chaque champ dans le fichier shadow est aussi séparé par deux points “:”, et on trouve les champs suivants:

  • Nom d'utilisateur, jusqu'à 8 caractères. Case-sensitive, habituellement uniquement des minuscules. Exactement la même entrée que dans le fichier /etc/passwd.
  • Mot de passe, 13 caractères codés. Une entrée nulle (eg. ::) indique qu'un mot de passe n'est pas demandé pour entrer dans le système (une mauvaise idée en général), et une entrée ``*'' (eg. :*:) indique que le compte a été désactivé.
  • Le nombre de jours (depuis le 1er Janvier 1970) depuis le dernier changement du mot de passe.
  • Le nombre de jours avant que le mot de passe ne puisse être changé (un 0 indique qu'il peut être changé à n'importe quel moment).
  • Le nombre de jours après lesquels le mot de passe doit être changé (99999 indique que l'utilisateur peut garder son mot de passe inchangé pendant beaucoup, beaucoup d'années)
  • Le nombre de jours pour avertir l'utilisateur qu'un mot de passe ne va plus être valable (7 pour une semaine entière)
  • Le nombre de jours avant de désactiver le compte après expiration du mot de passe
  • Le nombre de jours depuis le 1er Janvier 1970 pendant lesquels un compte a été désactivé
  • Un champ réservé pour une utilisation future possible


Retirer le password du compte visé :

  • Vous l'aurez compris, nous allons supprimer le password oublié ou inconnu :
Avant :
root:$1$8NFmV6tr$rT.INHxDBWn1VvU5gjGzi/:12209:0:99999:7:-1:-1:1074970543
bin:*:12187:0:99999:7:::
daemon:*:12187:0:99999:7:::
Après :
root::12209:0:99999:7:-1:-1:1074970543
bin:*:12187:0:99999:7:::
daemon:*:12187:0:99999:7:::
adm:*:12187:0:99999:7:::

Rebooter le host :

  • Rebooter normalement l'OS, le password s'il est demandé est vide !
Publié par à l'adresse
Libellés :

Aucun commentaire :

Enregistrer un commentaire

Inscription à : Publier les commentaires ( Atom )