Actualmente estoy haciendo una prueba de penetración y he capturado un montón de hashes NTLM a través de la falsificación de NBSN.
Un ejemplo (esto no se toma de lo que capturé, y es aleatorio pero el formato es el mismo) sería:
[*] SMB Captured - 2014-12-11 11:20:00 -0500
NTLMv1 Response Captured from 1.1.1.1:62222 - 1.1.1.1
USER:justauser DOMAIN:JUSTADOMAIN OS: LM:
LMHASH:Disabled
NTHASH:1b62d8db74e0d7102334bc7dcc224d7daecd3e2041ad0921
Pensé que este NTHASH podría usarse con un ataque de hash, sin embargo, establecerlo como el parámetro para la opción SMBPass en el módulo psexec de metasploits falla.
¿Estoy haciendo algo mal? Tengo entendido que si se captura un hash NTLMv1, no es necesario descifrarlo.