¿Hash de lanman idénticos en las cuentas de AD?

Question

¿Hash de lanman idénticos en las cuentas de AD?

#1 de Iszi (2 votos)

2

Corrí el módulo smart_hashdump de metasploit contra mis controladores de dominio (2008r2), tratando de encontrar cualquier cuenta que aún tenga hashes de lanman en su lugar. Estos deberían haber sido desactivados hace mucho tiempo. Solo estoy haciendo un poco de limpieza antes de los años de prueba de penetración y quería encontrar algo que se hubiera perdido.

Estoy un poco confundido por la salida que estoy viendo. Todas mis cuentas tienen exactamente el mismo hash en esa columna: aad3bb43 .... 404ee.

He visto un par de referencias a hashes que comienzan con aad3b43 en blanco, pero nada sobre estos hashes es idéntico.

¿Supongo que este valor corresponde a algún tipo de estado interno "deshabilitado"? Solo quiero estar seguro de que estoy entendiendo lo que estoy viendo.

EDITAR:

@Izsi -

Los 7 bytes nulos describen exactamente lo que estoy viendo.
Hace mucho tiempo que el nivel de autenticación de lan man se estableció en 5 y no se usa lm en el próximo cambio de contraseña, por lo que no se trata de que no se establezca una contraseña, o incluso un problema con algunos usuarios que usan contraseñas cortas .

Principalmente quería estar seguro de que la uniformidad era intencional. Trabajo con hashes de contraseñas con bastante regularidad y casi nunca veo entradas duplicadas. Simplemente se veía raro. No pensé en que el hash lm no usa un salt y una contraseña fija que siempre devuelve el mismo valor. Tiene perfecto sentido ahora. Gracias una tonelada.

passwords hash active-directory metasploit

pregunta Tim Brigham 16.06.2014 - 19:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords hash active-directory metasploit

¿Dónde almacenan los navegadores los detalles de autenticación HTTP? ¿Se pueden usar cifrados TLSv1.0 con SSLv3?

score 2 · Accepted Answer

El hash de LM no utiliza un salt , y por lo tanto, cualquiera las contraseñas idénticas tendrán valores hash idénticos.

Otra cosa a tener en cuenta es que el hash de LM no procesa la contraseña en su totalidad. En su lugar, lo rellena a 14 caracteres (si es necesario), luego divide ese valor en trozos de 7 caracteres y hace un hash para cada uno antes de volver a unirlos. Por lo tanto, si los primeros 7 caracteres son idénticos a los últimos 7, los primeros 8 bytes del hash LM coincidirán con los últimos 8.

El valor hash de LM para 7 caracteres nulos es AAD3B435B51404EE . Por lo tanto, una contraseña de menos de 8 caracteres terminará con AAD3B435B51404EE , y una contraseña vacía siempre (ya que el hashing LM no usa sal) será exactamente AAD3B435B51404EEAAD3B435B51404EE .

Sin embargo, hay una advertencia más. El hashing de LM no admite en absoluto contraseñas de 15 caracteres o más. Cuando se encuentra esto, el usuario puede recibir un mensaje pidiéndole que confirme que desea usar una contraseña que será incompatible con el software anterior (dependiente de hash de LM). Luego, el sistema almacenará un hash LM nulo para ese usuario. Personalmente recomiendo que las personas usen más de 15 caracteres en sus contraseñas precisamente por este motivo.

Por lo tanto, es posible que las cuentas que está viendo tengan contraseñas completamente vacías. En ese caso, esos usuarios probablemente merecen una conversación severa. También es posible (y quizás más probable) que esas cuentas usen realmente contraseñas más largas que la mayoría de las demás, ¡lo cual debería ser aplaudido!