No puedo descifrar hashes de respuesta con John o Hashcat

0

Ejecuté el Respondedor en una red de prueba y obtuve hashes de una máquina con Windows. Los registros de la máquina muestran algo como esto (algunos bytes cambiaron por razones de seguridad) y se almacenan en un archivo llamado "SMB-NTLMv2-SSP-192.168.2.12.txt":

usuario :: usuario-PC: 1122334455667788: 0340FB9C9E4F88BEEBBC92105213BD05: 0101000000000000D5F72CCE1F6AD301265492A58DFAC6E50000000002000A005300411111111111111101000A0053004D0042003100320004000A002364171BCD43100320003000A0053004D0042003100320005000A0053004D004200310032000800300030000000000000000100000000200000AAD247A0EB2290A13305EA760905EEFD95C50BF057C3BAEEABC821111111111111111100000000000000000000000000000000000900160063006900660073002F006100730064006100730066000000000000000000

Las opciones que usé en el Servicio de respuesta fueron -wF.

El problema es que no puedo romper este hash en absoluto. Todas las guías muestran al atacante ingresando el archivo de registro en hashcat o JohnTheRipper y el hash se está resquebrajando, pero cuando lo hago me sale:

En John: "No se han cargado hashes de contraseña (ver Preguntas frecuentes)" En Hashcat: "No hay hashes cargados"

Parece que ambos programas son incapaces de reconocer el hash. Además, estoy confundido: ¿qué significa cada campo (separado por un punto y coma) en el hash? Sé que es un protocolo de desafío-respuesta, entonces, ¿cuál es la parte del desafío y cuál es la respuesta?

¡Gracias de antemano!

    
pregunta Lucas Cioffi 30.11.2017 - 22:39
fuente

1 respuesta

2

Su hash de respuesta puede no ser válido, estar dañado o usar un formato desactualizado. ¿Es posible que esté utilizando una versión anterior de Responder, como se indica en esta pregunta ?

Mostrando mi trabajo:

En general, la mejor manera de validar su ataque hashcat es la correcta para un tipo de hash específico es probar su ataque contra un hash de ejemplo de la lista de hashcat wiki de hashes de ejemplo . Para NetNTLMv2 (modo 5600, ¿es eso lo que estás usando?), Aquí está el hash de ejemplo para la cadena 'hashcat':

admin_asp.as.p.as.p.as.as.as.as.as.as.as.as.as.as.as.se

... que mi hashcat (4.0.1) carga bien para mí con:

hashcat -m 5600 -a 3 test.hashes

Pero mi versión de hashcat no puede cargar su hash, no con el "no hashes hash cargado" que está viendo, sino con un error de "excepción de valor de sal". (¿Es posible que esté ejecutando una versión anterior de hashcat?)

También probé un par de hashes de respuesta que se muestran en algunos artículos del tutorial ( como este ), y puedo cargarlos en hashcat usando -m 5600.

Así que tentativamente he concluido que hay algo mal con tu hash.

    
respondido por el Royce Williams 01.12.2017 - 07:52
fuente

Lea otras preguntas en las etiquetas