内容简介:不说废话,直接上干货……1、首先打开Wireshark抓取的含有NTLM v2哈希的pcap;
不说废话,直接上干货……
1、首先打开Wireshark抓取的含有NTLM v2哈希的pcap;
2、通过ntlmssp过滤来获取认证握手;
artisanal smb2认证包
3、本例中,研究人员供获取3个包。找到NTLMSSP_AUTH包,过滤包到Security Blob层来获取下面的内容:
4、复制域名和用户名到文本文档中;
5、追踪NTLM响应部分,找出NTProofStr和NTLMv2响应。以Hex String复制NTProofStr和NTLMv2响应到文本文档中。
6、NTLMv2Response是以ntlmProofStr开头的,所以要从NTLMv2Response中删除ntlmProofStr。
7、在搜索过滤中输入ntlmssp.ntlmserverchallenge,含有NTLM Server Challenge的包会高亮显示,该包一般在NTLM_Auth包之前。以Hex String形式复制到文本文档中。
8、以下格式将该值保存到crackme.txt中:
username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response
9、用你最常用的密码列表(RockYou? best_1000_passwords2018.txt?等),打开一个终端运行hashcat:
hashcat -m 5600 crackme.txt passwordlist.txt
然后就成功获取了密码,如上图所示。
参考文献:
• https://www.root9b.com/newsroom/attacking-windows-fallback-authentication/
本文翻译自:https://research.801labs.org/cracking-an-ntlmv2-hash/
以上所述就是小编给大家介绍的《“九步曲”——从.pcap文件破解NTLMv2 Hash》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Everything Store
Brad Stone / Little, Brown and Company / 2013-10-22 / USD 28.00
The definitive story of Amazon.com, one of the most successful companies in the world, and of its driven, brilliant founder, Jeff Bezos. Amazon.com started off delivering books through the mail. Bu......一起来看看 《The Everything Store》 这本书的介绍吧!
