Ho un PC funzionante su cui ho bisogno di testare. È in esecuzione Windows con SMB abilitato. Durante l'acquisizione tramite Wireshark durante la connessione con una password errata, vedo pacchetti inviati a / dall'indirizzo IP. Potrebbe essere estratto l'hash da esso?
Sto usando Linux
Smb utilizza due schemi di autenticazione principali:
In entrambi i casi non puoi estrarre un semplice hash nt dal traffico, ma puoi applicarlo a forza maggiore mentre viene fornita la sfida.
Per rispondere alla tua domanda diretta: Sì, l'hash che stai osservando può essere estratto e possibilmente incrinato (in base alla complessità della password, alla quantità di energia che la tua messa in cracking, ecc.). La maggior parte delle volte, l'hash sarà o NTLMv1 o v2, e vedrai il kerberos occasionale. Ci sono alcuni strumenti là fuori, come HashIdentifier, che ti aiuteranno a identificare il tipo di hash che hai estratto.
Nota: le tecniche di passing-the-hash potrebbero non essere disponibili per te dato che i nuovi hash NTLM non possono essere passati, e dovrai fare affidamento sul cracking piuttosto che passarlo.