Ho eseguito il Responder in una rete di test e ottenuto gli hash da una macchina Windows. I log della macchina mostrano qualcosa di simile a questo (alcuni byte modificati per motivi di sicurezza) e sono memorizzati in un file chiamato "SMB-NTLMv2-SSP-192.168.2.12.txt":
user :: utente-PC: 1122334455667788: 0340FB9C9E4F88BEEBBC92105213BD05: 0101000000000000D5F72CCE1F6AD301265492A58DFAC6E50000000002000A005300411111111111111101000A0053004D0042003100320004000A002364171BCD43100320003000A0053004D0042003100320005000A0053004D004200310032000800300030000000000000000100000000200000AAD247A0EB2290A13305EA760905EEFD95C50BF057C3BAEEABC821111111111111111100000000000000000000000000000000000900160063006900660073002F006100730064006100730066000000000000000000
Le opzioni utilizzate in Rispondente erano -wF.
Il problema è che non riesco a decifrare questo hash. Tutte le guide mostrano che l'attaccante inserisce il file di registro in hashcat o JohnTheRipper e l'hash viene violato, ma quando lo faccio ottengo:
In John: "Nessun hash della password caricato (vedi FAQ)" In Hashcat: "Nessun hash caricato"
Sembra che entrambi i programmi non siano in grado di riconoscere l'hash. Inoltre, sono confuso: cosa significa ogni campo (separato da un punto e virgola) nell'hash? So che è un protocollo challenge-response, quindi quale parte è la sfida e quale è la risposta?
Grazie in anticipo !!