Cuando uso el módulo nbns_repsonde en metasploit y lo configuro para escribir respuestas capturadas en un archivo en formato john, obtengo un archivo con líneas como esta:
username :: DOMAIN: stringof32numbersandletters: stringof32numbersandletters: 1122334455667788
Esto es para una respuesta http-netntlm. Donde he escrito stringof32numbersandletters representa el hash, y ambos son idénticos.
Sin embargo, para http-ntlmv2, el formato cambia por completo:
username :: DOMAIN: 1122334455667788: stringof32numbersandletters: muchlargerstringofrandomnumbersandletters
El nombre de usuario y el dominio son obvios, al igual que el desafío enviado por Metasploit (1122334455667788), pero es el resto lo que encuentro confuso.
Soy nuevo en aprender sobre hash, y pasar los ataques de hash, y no estoy seguro de cómo dar sentido a lo que he capturado.
No puedo encontrar ninguna documentación en la página de inicio de Metasploit para el módulo: enlace
¿Dónde puedo encontrar documentación que explique qué es cada segmento y para qué sirve cada hash? O, como alternativa, ¿alguien podría explicar la diferencia entre una respuesta capturada de ntlm y ntlmv2?
Además, los hashes grabados en el archivo no parecen coincidir con lo que está en la pantalla. Mirando ejemplos tomados de: enlace
El contenido de este archivo:
Nocoincidaconloquesecapturóymostróenpantallaatravésdelmódulo