JTR no está descifrando la (s) contraseña (s) SAM de XP, ¿por qué?

Navega tus respuestas
1

Estaba probando los siguientes comandos 

john --format=LM xpPassword.txt
john xpPassword.txt

para romper el siguiente hash:

xpPassword.txt 

Administrator:500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
pentest:1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Entonces, después del proceso de craqueo, JTR me dio este resultado: 

Loaded 2 password hashes with no different salts (LM [DES 64/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
                 (pentest)
                 (Administrator)
2g 0:00:00:00 100% 2/3 6.451g/s 1141p/s 1141c/s 2283C/s 123456..MAGIC
Use the "--show" option to display all of the cracked passwords reliably
Session completed

Pero cuando intenté ver la contraseña usando el parámetro --show como se muestra a continuación 

john --show xpPassword.txt

JTR me dio solo los hashes, no las contraseñas, como se puede ver en la siguiente salida. 

Administrator::500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
pentest::1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

2 password hashes cracked, 0 left

Aunque se dice "2 hashes de contraseña agrietados", no hay ninguna contraseña dañada. ¿Cuál es el problema? ¿Dónde está mi culpa?

    
pregunta Hasan 19.02.2016 - 20:33
fuente

2 respuestas

0

Me di cuenta de que no pude poner la contraseña para el usuario pentest en la máquina XP. Cuando lo puse, todo ha ido bien.

Nueva salida: 

Administrator::500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
Guest::501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant::1000:aad3b435b51404eeaad3b435b51404ee:f638888c72f5c4e1a8f1e1270aaa6b85:::
IUSR_PENTEST-WINXP::1004:aad3b435b51404eeaad3b435b51404ee:f0a4854a729d96d5f8fddb3d144a9ee0:::
IWAM_PENTEST-WINXP::1005:aad3b435b51404eeaad3b435b51404ee:e4d4fc3f4174655f7884a06c27872477:::
pentest:PENTEST:1003:1e99d771a164613aaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
SUPPORT_388945a0::1002:aad3b435b51404eeaad3b435b51404ee:4ad41e3eb3179b33e072f0c53e07d0db:::

Observe que la contraseña del usuario de Pentest se encontró como PENTEST arriba. Las otras cuentas no tienen ninguna contraseña. Debido a esto, devuelven un hash que significa NULL.

    
respondido por el Hasan 19.02.2016 - 21:20
fuente
1

Parece que John ha descifrado los hashes de Lan Manager (LM) (las primeras partes) en lugar de los hashes NT (las segundas partes). Como son nulos en este caso, no hay nada que descifrar y John ha regresado diciendo que están agrietados.

Necesitas pasar el argumento --format=nt o --format=nt2 para romper los hashes NT.

    
respondido por el SilverlightFox 19.02.2016 - 20:40
fuente

Lea otras preguntas en las etiquetas

UDP DNS y Firewall ¿Qué tan seguro es usar un punto de acceso WAP54G de Linksys?