Saludos,

- Cuando el usuario ingresa su contraseña, esta se guarda en la RAM. En este punto se puede utilizar programas como mimikatz para filtrar la Ram y mostrar las contraseñas almacenadas en ella.

- Si las contraseñas no están en Ram, se puede utilizar programas de auditoría de seguridad de contraseñas como OphCrack, este extrae los Hashes de las contraseñas almacenadas en el fichero SAM de windows y las muestra, luego estos hashes hay que reversearlos para obtener la contraseña. OphCrack hace un análisis de auditoría básico haciendo un Brute-Force sobre los Hashes, si la contraseña es simple o débil, se recupera en este paso.

- Otra opción es copiarse ese Hash y buscarlo en Google, algunas veces alguien ya reverseó ese Hash y lo compartió en Internet.

- Proyecto minikatz: https://github.com/gentilkiwi/mimikatz
-- Descarga directa: https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20190813/mimikatz_trunk.zip
-- Leer el fichero Readme.md para ver como funciona (ejecutar como administrador y tipear/pegar los dos comandos que muestra el Readme.md)

- Proyecto OptCrack: https://ophcrack.sourceforge.io/download.php?type=ophcrack
-- Ejecutar como administrador > Load > Local SAM