Identificación del formato de hash capturado a través de Metasploit

1

Cuando uso el módulo nbns_repsonde en metasploit y lo configuro para escribir respuestas capturadas en un archivo en formato john, obtengo un archivo con líneas como esta:

username :: DOMAIN: stringof32numbersandletters: stringof32numbersandletters: 1122334455667788

Esto es para una respuesta http-netntlm. Donde he escrito stringof32numbersandletters representa el hash, y ambos son idénticos.

Sin embargo, para http-ntlmv2, el formato cambia por completo:

username :: DOMAIN: 1122334455667788: stringof32numbersandletters: muchlargerstringofrandomnumbersandletters

El nombre de usuario y el dominio son obvios, al igual que el desafío enviado por Metasploit (1122334455667788), pero es el resto lo que encuentro confuso.

Soy nuevo en aprender sobre hash, y pasar los ataques de hash, y no estoy seguro de cómo dar sentido a lo que he capturado.

No puedo encontrar ninguna documentación en la página de inicio de Metasploit para el módulo: enlace

¿Dónde puedo encontrar documentación que explique qué es cada segmento y para qué sirve cada hash? O, como alternativa, ¿alguien podría explicar la diferencia entre una respuesta capturada de ntlm y ntlmv2?

Además, los hashes grabados en el archivo no parecen coincidir con lo que está en la pantalla. Mirando ejemplos tomados de: enlace

El contenido de este archivo:

Nocoincidaconloquesecapturóymostróenpantallaatravésdelmódulo

    
pregunta Bo Jeffrey 18.12.2014 - 23:38
fuente

1 respuesta

2
  

username :: DOMAIN: 1122334455667788: stringof32numbersandletters: muchlargerstringofrandomnumbersandletters

Nombre de usuario : nombre de usuario
Dominio o dominio NTLM : DOMINIO
Desafío : 1122334455667788
LM Hash : strongof32numbersandletters
NTLM Hash : muchlargerstringofrandomnumbersandletters

Si se pregunta por qué no puede pasar estos hash en el ataque de hash, el motivo es que los hashes LM y NTLM no son los mismos que los almacenados en el almacén de SAM o Active Directory. Estos hashes se concatenan con el desafío y luego se envían por el cable. La razón para establecer una firma estática 1122334455667788 es usar las tablas de arco iris precalculadas generadas usando este desafío.

    
respondido por el void_in 19.12.2014 - 06:10
fuente

Lea otras preguntas en las etiquetas