不说废话,直接上干货……
1、首先打开Wireshark抓取的含有NTLM v2哈希的pcap;
2、通过ntlmssp过滤来获取认证握手;
artisanal smb2认证包
3、本例中,研究人员供获取3个包。找到NTLMSSP_AUTH包,过滤包到Security Blob层来获取下面的内容:
4、复制域名和用户名到文本文档中;
5、追踪NTLM响应部分,找出NTProofStr和NTLMv2响应。以Hex String复制NTProofStr和NTLMv2响应到文本文档中。
6、NTLMv2Response是以ntlmProofStr开头的,所以要从NTLMv2Response中删除ntlmProofStr。
7、在搜索过滤中输入ntlmssp.ntlmserverchallenge,含有NTLM Server Challenge的包会高亮显示,该包一般在NTLM_Auth包之前。以Hex String形式复制到文本文档中。
8、以下格式将该值保存到crackme.txt中:
username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response
9、用你最常用的密码列表(RockYou? best_1000_passwords2018.txt?等),打开一个终端运行hashcat:
hashcat -m 5600 crackme.txt passwordlist.txt
然后就成功获取了密码,如上图所示。
参考文献:
• https://www.root9b.com/newsroom/attacking-windows-fallback-authentication/
• https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/
本文翻译自:https://research.801labs.org/cracking-an-ntlmv2-hash/
本文作者:ang010ela
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/106276.html