“九步曲”——从.pcap文件破解NTLMv2 Hash

2019-05-24 7,954

不说废话,直接上干货……

image.png

1、首先打开Wireshark抓取的含有NTLM v2哈希的pcap;
2、通过ntlmssp过滤来获取认证握手;

image.png

artisanal smb2认证包

3、本例中,研究人员供获取3个包。找到NTLMSSP_AUTH包,过滤包到Security Blob层来获取下面的内容:

image.png

4、复制域名和用户名到文本文档中;
5、追踪NTLM响应部分,找出NTProofStr和NTLMv2响应。以Hex String复制NTProofStr和NTLMv2响应到文本文档中。

image.png

6、NTLMv2Response是以ntlmProofStr开头的,所以要从NTLMv2Response中删除ntlmProofStr。

image.png

7、在搜索过滤中输入ntlmssp.ntlmserverchallenge,含有NTLM Server Challenge的包会高亮显示,该包一般在NTLM_Auth包之前。以Hex String形式复制到文本文档中。

image-8.png

8、以下格式将该值保存到crackme.txt中:

username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response

image.png

9、用你最常用的密码列表(RockYou? best_1000_passwords2018.txt?等),打开一个终端运行hashcat:

hashcat -m 5600 crackme.txt passwordlist.txt

image.png

然后就成功获取了密码,如上图所示。
参考文献:
• https://www.root9b.com/newsroom/attacking-windows-fallback-authentication/
• https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/


本文翻译自:https://research.801labs.org/cracking-an-ntlmv2-hash/


本文作者:ang010ela

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/106276.html

Tags:
评论  (0)
快来写下你的想法吧!

ang010ela

文章数:56 积分: 711

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号