In mimikatz, sekurlsa::pth supporta anche /aes256 switch. Ma dove posso ottenere l'hash aes256?
Posso recuperare l'hash NTLM da molti strumenti diversi, esiste un modo per convertirlo in uno aes256?
In breve, non è possibile convertire NTLM in AES. NTLM è una funzione di hashing contro AES, che è un algoritmo di crittografia ( vedi @MikeOunsworth rispondi per ulteriori informazioni su questo ).
Per ripristinare la versione AES della password, è necessario configurare il Dominio per archiviarli come e e ripristinarli scaricando ntds.dit (backup Hive dell'utente Active Directory). Quindi puoi usare secretsdump.py o uno strumento simile per estrarre le versioni di AES. Detto questo, avrai bisogno di Domain Admin (o permessi equivalenti) per scaricare ntds.dit (da un controller di dominio), quindi il PTH potrebbe non essere necessario se hai quel livello di permanenti, ma potresti fallo comunque.
Modifica
Ecco come appare ogni versione una volta recuperato da ntds.dit
WAKANDA$:5136:aad3__LM-HASH__d3b435b54ee:f1e03f8f94__NTLM-HASH__f0c0df:::
WAKANDA$:aes256-cts-hmac-sha1-96:8941c28ac__snip__8a51adf13336b
WAKANDA$:aes128-cts-hmac-sha1-96:cbe71ab9b__snip__2dc21d6
WAKANDA$:des-cbc-md5:576_snip_bcec
WAKANDA$:rc4_hmac:f1e036ef8f__snip__69cf0c0df
Hai due domande là dentro. Risponderò a questo:
I can retrieve NTLM hash from many different tools, is there any way to convert it to a aes256 one?
Prima di tutto, gli hash NT / LM sono funzioni hash che accettano un messaggio per produrre un hash, mentre AES è un codice a blocchi che accetta un messaggio e una chiave per produrre un testo cifrato. Queste cose generalmente hanno scopi diversi (per esempio, gli hash sono spesso usati con le password, i cifrari a blocchi non lo sono). Non sono un esperto NTLM, ma sembra sospetto che tu voglia convertire da uno all'altro.
In secondo luogo, da questo articolo abbiamo:
The LM hash is a very weak one-way function used for storing passwords. Originally invented for the LAN Manager operating system, the LM hash was included in Windows NT for backward compatibility. It is still included for backward compatibility. Because of the way the LM hash is calculated, no password with an LM hash is stronger than a 7-character password selected from a 142-character character set.
che ci dice che si tratta di una funzione hash crittografica unidirezionale (anche se obsoleta e debole). La conversione di un hash NTLM in qualcos'altro richiederebbe in primo luogo di forzare l'hash per ripristinare il testo in chiaro.
In conclusione: probabilmente dovresti leggere un po 'di più su cosa sono gli hash NTLM e AES, e forse le cose diventeranno un po' più chiare per te.
Leggi altre domande sui tag mimikatz