Identici lanman hash negli account AD?

2

Ho eseguito il modulo smart_hashdump di metasploit contro i miei controller di dominio (2008r2), cercando di trovare tutti gli account che possono ancora avere hash lanman sul posto. Questi dovrebbero essere stati disabilitati molto tempo fa. Sto solo facendo un po 'di pulizia prima di questi anni di test di penetrazione e volevo trovare tutto ciò che era mancato.

Sono un po 'confuso dall'output che sto vedendo. Tutti i miei account hanno esattamente lo stesso hash in quella colonna - aad3bb43 .... 404ee.

Ho visto un paio di riferimenti agli hash che iniziano con aad3b43 che è vuoto, ma nulla di tutti questi hash è identico.

Suppongo che questo valore corrisponda a una sorta di stato "disabilitato" interno? Voglio solo essere sicuro di capire cosa sto visualizzando.

EDIT:

@Izsi -

I 7 byte null descrivono esattamente quello che sto vedendo.
Da tempo abbiamo impostato il livello di autenticazione della LAN su 5 e non utilizzare lm alla successiva modifica della password, in modo che non si tratti di impostare alcuna password, o addirittura di un problema con pochi utenti che utilizzano password brevi .

Volevo soprattutto essere sicuro che l'uniformità fosse intenzionale. Lavoro con gli hash delle password abbastanza regolarmente e quasi mai vedo voci duplicate. Semplicemente sembrava strano. Non pensavo che lh hash non usasse una password salata e una password fissa restituisse sempre lo stesso valore. Ha perfettamente senso ora. Grazie mille.

    
posta Tim Brigham 16.06.2014 - 19:59
fonte

1 risposta

2

L' LM hash non utilizza un salt , e quindi qualsiasi password identiche avranno valori hash identici.

Un'altra cosa da tenere a mente è che l'hash LM non elabora la password nel suo complesso. Invece, lo annulla a 14 caratteri (se necessario), quindi divide quel valore in blocchi di 7 caratteri e hash ciascuno prima di rimetterli insieme. Pertanto, se i primi 7 caratteri sono identici agli ultimi 7, i primi 8 byte dell'hash LM corrisponderanno agli ultimi 8.

Il valore hash LM per 7 caratteri nulli è AAD3B435B51404EE . Pertanto una password di lunghezza inferiore a 8 caratteri termina con AAD3B435B51404EE , e una password vuota sarà sempre (poiché l'hashing LM non usa sale) essere esattamente AAD3B435B51404EEAAD3B435B51404EE .

Tuttavia, c'è un altro avvertimento. L'hashing LM non supporta le password di almeno 15 caratteri. Quando questo si verifica, l'utente può ricevere un prompt chiedendo loro di confermare che vogliono usare una password che sarà incompatibile con il software più vecchio (LM hash dipendente). Quindi, il sistema memorizzerà un hash LM null per quell'utente. Personalmente raccomando che le persone utilizzino più di 15 caratteri nelle loro password proprio per questo motivo.

Quindi, è possibile che quegli account che stai guardando abbiano password completamente vuote. In tal caso, quegli utenti probabilmente meritano una poppa a parlare. È anche possibile (e forse più probabile) che quegli account utilizzino effettivamente password più lunghe di molti altri, il che dovrebbe essere applaudito!

    
risposta data 16.06.2014 - 20:28
fonte

Leggi altre domande sui tag