9步从pcap文件中提取并破解 NTLMv2 哈希

iso60001  669天前

22.png

1.在Wireshark中打开包含NTLMv2散列的.pcap文件。

2.通过ntlmssp这一字符串进行数据包筛选,获得身份验证的握手包。

33.png

3.第二步过滤后,我们可以得到三个包。查找NTLMSSP_AUTH包。将数据包向下过滤到Security Blob层,就可以得到如下好东西:

44.png

4.将域名和用户名复制到文本文档中。

5.深入查找NTLM响应部分,找到NTProofStr字段和NTLMv2的响应。将它们作为十六进制字符串复制到文本文档中。

55.png

6.注意,NTLMv2Response是从ntlmProofStr开始,因此从NTLMv2的响应中删除ntlmProofStr。

66.png

7.在Wireshark的搜索过滤器中输入ntlmssp.ntlmserverchallenge。就会发现NTLM Server Challenge字段,通常这个数据包是在NTLM_Auth数据包之前。将该值作为十六进制字符串复制到文本文档。

77.png

8.将以上的所有值按以下格式保存到crackme.txt:

username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response

88.png

9.找到你最喜欢的密码字典(RockYou? best_1000_passwords2018.txt?)并打开电脑终端运行以下命令:

hashcat -m 5600 crackme.txt passwordlist.txt

它会给你展示用户密码!

99.png

原文链接:https://research.801labs.org/cracking-an-ntlmv2-hash/9

最新评论

昵称
邮箱
提交评论