Tengo una PC en ejecución con la que necesito probar. Está ejecutando Windows con SMB habilitado. Al capturar utilizando Wireshark mientras se conecta con una contraseña incorrecta, veo paquetes que se envían a / desde la dirección IP. ¿Podría el hash ser extraído de él?
Estoy ejecutando Linux
Smb utiliza dos esquemas de autenticación principales:
En ambos casos, no puede extraer un hash nt simple del tráfico, pero puede realizar una fuerza bruta a medida que se suministra el desafío.
Para responder a su pregunta directa: Sí, el hash que está observando se puede extraer y posiblemente descifrar (en función de la complejidad de la contraseña, la cantidad de energía que usted ingresa para descifrarla, etc.). La mayoría de las veces, el hash será NTLMv1 o v2, y verás los kerberos ocasionales. Hay algunas herramientas por ahí, como HashIdentifier, que te ayudarán a identificar el tipo de hash que extrajiste.
Nota: es posible que las técnicas Passing-the-hash no estén disponibles, ya que no se pueden pasar los hashes NTLM más nuevos, y tendrá que confiar en que se descifre en lugar de pasarlo.