Perché non riesco a catturare LM e LMHASH?

1

Sto eseguendo un semplice test di auxiliary/server/capture/smb di Metasploit .

Funziona, ma sia LMHASH & LM sono vuoti

[*] SMB Captured - 2016-09-27 16:49:31 +0800
NTLMv2 Response Captured from 172.16.177.40:49332 - 172.16.177.40
USER:aaron DOMAIN:CORP OS: LM:
LMHASH:Disabled
LM_CLIENT_CHALLENGE:Disabled
NTHASH:xxx
NT_CLIENT_CHALLENGE:xxx

Ho provato questo su Windows 7, 2008 e 2003, nessuno di loro funziona.

Qualche idea?

    
posta daisy 27.09.2016 - 10:52
fonte

3 risposte

1

Gli hash LM su una rete sono disabilitati per impostazione predefinita nei sistemi di post Windows XP.

Dovrai utilizzare un criterio di gruppo / criterio di sicurezza locale per attivare di nuovo quel comportamento. La modifica dei valori predefiniti è stata effettuata ovviamente per evitare che gli hash deboli vengano inviati sulla rete per l'autenticazione. Microsoft ha capito che quando una società aveva Windows 7, l'ambiente non avrebbe una macchina Pre-XP, quindi non c'era bisogno di compatibilità.

Anche gli hasing LM non verranno generati quando:

  • L'utente ha una password troppo lunga per lo schema di hashing di LanMan
  • La generazione di hash LM è stata completamente disabilitata dal criterio gruppo / locale
risposta data 27.01.2017 - 10:02
fonte
0

L'ho appena testato su una macchina Win7, Win10 e XP.

Credo che il tuo problema siano le impostazioni del firewall sui nuovi sistemi operativi.

Ha funzionato perfettamente sulla macchina xp, ma non ha avuto successo su Win7 o su Win10

Suggerirei di verificare le impostazioni del firewall sulle macchine della vittima.

    
risposta data 29.09.2016 - 02:09
fonte
0

È una pratica piuttosto normale disabilitarla sui computer aziendali.

Ad esempio puoi controllare:

To disable transmission of LM hashes across the network on a single computer,
 complete these steps:
Open the registry editor 
Browse to HKLM\System\CurrentControlSet\control\LSA 
Find the key named “LMCompatibilityLevel” 
Change this value to “5” to completely disable the use of LM authentication.

(per mezzo di una panoramica di qualcun'altro )

È anche possibile che l'account non abbia nemmeno generato un hash LM (che è anche configurabile).

    
risposta data 28.11.2016 - 07:38
fonte

Leggi altre domande sui tag