Cant crack Responder hash con John o Hashcat

0

Ho eseguito il Responder in una rete di test e ottenuto gli hash da una macchina Windows. I log della macchina mostrano qualcosa di simile a questo (alcuni byte modificati per motivi di sicurezza) e sono memorizzati in un file chiamato "SMB-NTLMv2-SSP-192.168.2.12.txt":

user :: utente-PC: 1122334455667788: 0340FB9C9E4F88BEEBBC92105213BD05: 0101000000000000D5F72CCE1F6AD301265492A58DFAC6E50000000002000A005300411111111111111101000A0053004D0042003100320004000A002364171BCD43100320003000A0053004D0042003100320005000A0053004D004200310032000800300030000000000000000100000000200000AAD247A0EB2290A13305EA760905EEFD95C50BF057C3BAEEABC821111111111111111100000000000000000000000000000000000900160063006900660073002F006100730064006100730066000000000000000000

Le opzioni utilizzate in Rispondente erano -wF.

Il problema è che non riesco a decifrare questo hash. Tutte le guide mostrano che l'attaccante inserisce il file di registro in hashcat o JohnTheRipper e l'hash viene violato, ma quando lo faccio ottengo:

In John: "Nessun hash della password caricato (vedi FAQ)" In Hashcat: "Nessun hash caricato"

Sembra che entrambi i programmi non siano in grado di riconoscere l'hash. Inoltre, sono confuso: cosa significa ogni campo (separato da un punto e virgola) nell'hash? So che è un protocollo challenge-response, quindi quale parte è la sfida e quale è la risposta?

Grazie in anticipo !!

    
posta Lucas Cioffi 30.11.2017 - 22:39
fonte

1 risposta

2

L'hash del Rispondente potrebbe non essere valido, corrotto o utilizzare un formato obsoleto. È possibile che tu stia utilizzando una versione precedente di Responder, come indicato in questa domanda ?

Mostra il mio lavoro:

In generale, il modo migliore per convalidare l'attacco hashcat è corretto per un tipo di hash specifico è provare l'attacco con un hash di esempio da la lista wiki hashcat degli hash di esempio . Per NetNTLMv2 (modalità 5600 - è quello che stai usando?), Ecco l'hash di esempio per la stringa 'hashcat':

Amministrazione :: N46iSNekpT: 08ca45b7d7ea58ee: 88dcbe4446168966a153a0064958dac6: 5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030

... che il mio hashcat (4.0.1) carica bene per me con:

hashcat -m 5600 -a 3 test.hashes

Ma la mia versione di hashcat non carica il tuo hash - non con "nessun hash caricato" che stai vedendo, ma con un errore "salt-value exception". (È possibile che tu stia utilizzando una versione precedente di hashcat?)

Ho anche provato un paio degli hash del Responder mostrati in alcuni articoli del tutorial ( come questo ), e sono in grado di caricarli in hashcat usando -m 5600.

Quindi ho provvisoriamente concluso che c'è qualcosa di sbagliato nel tuo hash.

    
risposta data 01.12.2017 - 07:52
fonte

Leggi altre domande sui tag