¿Por qué no puedo capturar LM y LMHASH?

1

Estoy ejecutando una prueba simple de Metasploit's auxiliary/server/capture/smb .

Funciona, pero tanto LMHASH como amp; LM están vacíos

[*] SMB Captured - 2016-09-27 16:49:31 +0800
NTLMv2 Response Captured from 172.16.177.40:49332 - 172.16.177.40
USER:aaron DOMAIN:CORP OS: LM:
LMHASH:Disabled
LM_CLIENT_CHALLENGE:Disabled
NTHASH:xxx
NT_CLIENT_CHALLENGE:xxx

He estado probando esto en Windows 7, 2008 y 2003, ninguno de ellos funciona.

¿Alguna idea?

    
pregunta daisy 27.09.2016 - 10:52
fuente

3 respuestas

1

Los hashes LM en una red están deshabilitados de forma predeterminada en los sistemas posteriores a Windows XP.

Tendrá que usar una política de grupo / política de seguridad local para habilitar ese comportamiento nuevamente. Obviamente, se hizo el cambio de los valores predeterminados para evitar que se envíen hashes débiles a través de la red para la autenticación. Microsoft pensó que para cuando una corporación tuviera Windows 7, el entorno no tendría una máquina Pre-XP, por lo que no había necesidad de compatibilidad.

Los hash LM tampoco se generarán cuando:

  • El usuario tiene una contraseña que es demasiado larga para el esquema de hashing de LanMan
  • La generación de hash de LM se deshabilitó completamente por grupo / política local
respondido por el dark_st3alth 27.01.2017 - 10:02
fuente
0

Acabo de probar esto en una máquina Win7, Win10 y XP.

Creo que su problema es la configuración del firewall en los sistemas operativos más nuevos.

Funcionó perfectamente en la máquina xp, pero no tuvo éxito en Win7 o Win10

Le sugeriría que compruebe la configuración del firewall en las máquinas de su víctima.

    
respondido por el standarduser 29.09.2016 - 02:09
fuente
0

Es una práctica bastante estándar deshabilitar esto en las máquinas empresariales.

Como ejemplo, puedes verificar:

To disable transmission of LM hashes across the network on a single computer,
 complete these steps:
Open the registry editor 
Browse to HKLM\System\CurrentControlSet\control\LSA 
Find the key named “LMCompatibilityLevel” 
Change this value to “5” to completely disable the use of LM authentication.

(a través de alguien más paso )

También es posible que la cuenta ni siquiera haya generado un hash LM (también es configurable).

    
respondido por el Ori 28.11.2016 - 07:38
fuente

Lea otras preguntas en las etiquetas