Identificazione del formato hash acquisito tramite Metasploit

1

Quando uso il modulo nbns_repsonde in metasploit e lo imposto per scrivere le risposte acquisite in un file nel formato john, ottengo un file con righe come questa:

Username :: Dominio: stringof32numbersandletters: stringof32numbersandletters: 1122334455667788

Questo è per una risposta http-netntlm. Dove ho scritto stringof32numbersandletters rappresenta l'hash, ed entrambi sono identici.

Tuttavia, per http-ntlmv2, il formato cambia completamente:

Username :: DOMINIO: 1122334455667788: stringof32numbersandletters: muchlargerstringofrandomnumbersandletters

Nome utente e dominio sono ovvi, così come la sfida inviata da Metasploit (1122334455667788), ma è il resto che trovo confuso.

Sono nuovo nell'apprendimento degli hash e passo gli attacchi di hash e così via, e non sono sicuro di come dare un senso a ciò che ho catturato.

Non riesco a trovare alcuna documentazione sulla homepage Metasploit per il modulo: link

Dove posso trovare la documentazione che spiega cos'è ciascun segmento e a cosa serve ciascun hash? Oppure, in alternativa, qualcuno sarebbe in grado di spiegare la differenza tra una risposta catturata da ntlm e ntlmv2?

Inoltre, gli hash registrati scritti su file non sembrano corrispondere a quelli visualizzati sullo schermo. Osservando esempi tratti da: link

Il contenuto di questo file:

Nonabbinareciòcheèstatocatturatoemostratosulloschermotramiteilmodulo

    
posta Bo Jeffrey 18.12.2014 - 23:38
fonte

1 risposta

3

username::DOMAIN:1122334455667788:stringof32numbersandletters:muchlargerstringofrandomnumbersandletters

Nome utente : nome utente
Dominio o dominio NTLM : DOMAIN
Sfida : 1122334455667788
LM Hash : strongof32numbersandletters
Hash NTLM : muchlargerstringofrandomnumbersandletters

Se ti stai chiedendo perché non puoi passare questi hash nel passaggio dell'hash hash, il motivo è che entrambi gli hash LM e NTLM non sono uguali a quelli memorizzati nell'archivio SAM o Active Directory. Questi hash sono concatenati con la sfida e quindi inviati sul filo. La ragione per impostare una firma statica 1122334455667788 consiste nell'utilizzare le tabelle arcobaleno pre-calcolate generate utilizzando questa sfida.

    
risposta data 19.12.2014 - 06:10
fonte

Leggi altre domande sui tag