Informazioni sugli hash delle password locali di Windows (NTLM)

5

Recentemente ho scaricato alcuni hash dal mio computer locale perché sto cercando di capire il processo in cui Windows 7 hash le sue password.

Ho scoperto il mio hash della password locale che sembra ( simile ) a questo: Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::

Ora quello che vorrei sapere è che cosa significano le diverse sezioni, quindi:

Abbiamo questo hash: Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3::: che sembra essere separato da : se lo separiamo da : finiamo con questo:

[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :]
  • Suppongo che la prima parte Jason sia il nome utente, per me è la cosa più logica.
  • La terza parte aad3c435b514a4eeaad3b935b51304fe è l'hash ntlm è la mia ipotesi migliore.

Se la mia ipotesi è corretta, allora lascia c46b9e588fa0d112de6f59fd6d58eae3 e 502 a sinistra.

  • Direi che l'altro hash ( c46b9e588fa0d112de6f59fd6d58eae3 ) è la chiave derivata, creata dalla password stessa.
  • Il 502 sarebbe i dati binari dell'utente.
  • E : è solo un separatore o una spaziatura.

Ora per la mia domanda, ho ragione nelle mie supposizioni su cosa rappresenta ciascuna parte dell'hash? Se no, qualcuno può spiegarmi che cosa rappresenta ciascuna parte?

    
posta 13aal 13.06.2017 - 17:06
fonte

1 risposta

7

Utilizzo

[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :] 

come esempio

Jason è il nome utente

502 è l'identificatore relativo (500 è un amministratore, 502 qui è un account kerberos.) (adsecurity.org/?p=483)

aad3c435b514a4eeaad3b935b51304f è l'hash LM

c46b9e588fa0d112de6f59fd6d58eae3 è l'hash NT

I dettagli sulla differenza tra gli hash possono essere trovati qui

Hash LM / NT

    
risposta data 13.06.2017 - 17:34
fonte

Leggi altre domande sui tag