¿Es posible oler los inicios de sesión de windows smb y están cifrados?

Navega tus respuestas
2

Dado que herramientas como Cain y Abel pueden rastrear contraseñas de texto claro de la mayoría de las páginas HTML, ¿es posible configurar el rastreo de las ventanas de texto claro en los inicios de sesión? Intenté buscarlo, pero lo mejor que surgió fue la captura NTLMv2 de Responder, sin embargo, leí que la mayoría de los sistemas de windows 7 todavía usan ntlm, así que ¿hay alguna forma de configurar el texto claro o ntlm oler los inicios de sesión de smb windows?

    
pregunta Sergtal 07.09.2016 - 21:10
fuente

1 respuesta

2

El proceso de desafío / respuesta de NTLM no transmite las contraseñas. Si desea obtener pedante, ni el cliente ni el servidor tienen acceso a las contraseñas.

Cada uno tiene el hash de NT del usuario en cuestión, que se utiliza como clave precompartida. Esto es lo que sucede cuando el cliente solicita un recurso SMB del servidor:

  1. El servidor emite un desafío.
  2. El cliente cifra el desafío utilizando el hash de NT del usuario como clave.
  3. El cliente envía el desafío cifrado al servidor.
  4. El servidor encripta su desafío con su copia del hash del usuario.
  5. El servidor compara los dos desafíos cifrados. Si coinciden, se concede acceso.

Lo mejor que vas a obtener si estás olfateando ese tráfico, o envenenando con el Respondedor, es el hash NetNTLMv2, que es el desafío cifrado. Luego puede intentar descifrar esto sin conexión, pero como dice paj28, la única forma de obtener texto claro es mediante una herramienta como Mimikatz, que puede leerlos desde lsass.exe.

    
respondido por el liam 25.01.2017 - 18:30
fuente

Lea otras preguntas en las etiquetas

¿Por qué no hay ningún referente cuando se apunta a una página segura? ¿WPS sigue siendo inseguro si el enrutador requiere un pin de cliente?