9步从pcap文件中提取并破解 NTLMv2 哈希

1.在Wireshark中打开包含NTLMv2散列的.pcap文件。

2.通过ntlmssp这一字符串进行数据包筛选，获得身份验证的握手包。

3.第二步过滤后，我们可以得到三个包。查找NTLMSSP_AUTH包。将数据包向下过滤到Security Blob层，就可以得到如下好东西：

4.将域名和用户名复制到文本文档中。

5.深入查找NTLM响应部分，找到NTProofStr字段和NTLMv2的响应。将它们作为十六进制字符串复制到文本文档中。

6.注意，NTLMv2Response是从ntlmProofStr开始，因此从NTLMv2的响应中删除ntlmProofStr。

7.在Wireshark的搜索过滤器中输入ntlmssp.ntlmserverchallenge。就会发现NTLM Server Challenge字段，通常这个数据包是在NTLM_Auth数据包之前。将该值作为十六进制字符串复制到文本文档。

8.将以上的所有值按以下格式保存到crackme.txt：

username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response

9.找到你最喜欢的密码字典（RockYou? best_1000_passwords2018.txt?)并打开电脑终端运行以下命令：

hashcat -m 5600 crackme.txt passwordlist.txt

它会给你展示用户密码！

原文链接：https://research.801labs.org/cracking-an-ntlmv2-hash/9