Windows11 で取得したパスワードハッシュがなぜか John the ripper で解析できない場合の原因

• 概要
• 環境
• 現象
• 原因
• Tips: 再度解析する場合は
• 最後に
• 参考サイト

概要

タイトルの通りです
原因を紹介します

環境

• macOS 14.4
• John the ripper 1.9.0

現象

john コマンドを使って解析し --show で結果を確認してもなぜかハッシュ値が表示されてしまいます
password.lst には当たりのパスワードを入力済みです

• john --wordlist=./password.lst --format=nt ./hash.txt

hash.txt の内容は以下の通りです

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
user01:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

これで解析後に --show を実行してもなぜか上記のハッシュ情報だけが表示されます
結果には 4 password hashes cracked, 0 left と表示されています

原因

どうやらセキュリティ対策でパスワードハッシュを取得すると必ず空文字のハッシュが返るようになっているようです
以下が空文字のハッシュ値です

aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0

比較的新しいパッチが当たった Windows10 or Windows11 の場合にこうなってしまうようなのでパスワードハッシュの解析を John the ripper でしたい場合には Windows7 などを用意しましょう

Tips: 再度解析する場合は

キャッシュファイルを削除しましょう

• rm ~/.john/john.pot

最後に

正しいパスワードハッシュを得る方法はあるのだろうか

参考サイト

• https://github.com/rapid7/metasploit-framework/issues/7936
• https://security.stackexchange.com/questions/169923/john-the-ripper-not-displaying-cracked-password