破解pcap文件的NTLMv2 hash以得到密码明文

首先你要有一个pcap文件且含有NTLM v2哈希

1.ntlmssp过滤

破解pcap文件的NTLMv2 hash以得到密码明文

2.为了破解ntlmv2,我们需要找到如下信息

username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response 

3.找到NTLMSSP_AUTH包,并过滤到下图内容

破解pcap文件的NTLMv2 hash以得到密码明文

 

 

可获得

username和domain

4.追踪NTLM response

破解pcap文件的NTLMv2 hash以得到密码明文

 

 

 可获得NTproofstring和modifiedntlmv2response 

此处注意ntlmv2response的开头是NTproofstring,需要删除ntlmv2response里的重复部分

5.过滤搜索ntlmssp.ntlmserverchallenge,找到符合条件的包

破解pcap文件的NTLMv2 hash以得到密码明文

 

获得NTLM Server Challenge

 

自此,获得了username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response 的所有信息

破解pcap文件的NTLMv2 hash以得到密码明文

 

 

6.将该字符串保存后使用hashcat破解

hashcat -m 5600 保存的字符串.txt 密码字典.txt -o 结果.txt --force

hashcat具体操作可参考https://blog.csdn.net/SHIGUANGTUJING/article/details/90074614

7.利用python自动提取pcap包中的ntlmv2 hash

可参考https://github.com/gh-balthazarbratt/nocashvalue

 

上一篇:快速幂讲解(很重要的算法)


下一篇:Tcpreplay重放pcap包, tcprewrite编辑pcap文件