Sto eseguendo un semplice test di auxiliary/server/capture/smb di Metasploit .
Funziona, ma sia LMHASH & LM sono vuoti
[*] SMB Captured - 2016-09-27 16:49:31 +0800
NTLMv2 Response Captured from 172.16.177.40:49332 - 172.16.177.40
USER:aaron DOMAIN:CORP OS: LM:
LMHASH:Disabled
LM_CLIENT_CHALLENGE:Disabled
NTHASH:xxx
NT_CLIENT_CHALLENGE:xxx
Ho provato questo su Windows 7, 2008 e 2003, nessuno di loro funziona.
Qualche idea?
Gli hash LM su una rete sono disabilitati per impostazione predefinita nei sistemi di post Windows XP.
Dovrai utilizzare un criterio di gruppo / criterio di sicurezza locale per attivare di nuovo quel comportamento. La modifica dei valori predefiniti è stata effettuata ovviamente per evitare che gli hash deboli vengano inviati sulla rete per l'autenticazione. Microsoft ha capito che quando una società aveva Windows 7, l'ambiente non avrebbe una macchina Pre-XP, quindi non c'era bisogno di compatibilità.
Anche gli hasing LM non verranno generati quando:
L'ho appena testato su una macchina Win7, Win10 e XP.
Credo che il tuo problema siano le impostazioni del firewall sui nuovi sistemi operativi.
Ha funzionato perfettamente sulla macchina xp, ma non ha avuto successo su Win7 o su Win10
Suggerirei di verificare le impostazioni del firewall sulle macchine della vittima.
È una pratica piuttosto normale disabilitarla sui computer aziendali.
Ad esempio puoi controllare:
To disable transmission of LM hashes across the network on a single computer,
complete these steps:
Open the registry editor
Browse to HKLM\System\CurrentControlSet\control\LSA
Find the key named “LMCompatibilityLevel”
Change this value to “5” to completely disable the use of LM authentication.
(per mezzo di una panoramica di qualcun'altro )
È anche possibile che l'account non abbia nemmeno generato un hash LM (che è anche configurabile).
Leggi altre domande sui tag smb hash metasploit ntlm