首先你要有一个pcap文件且含有NTLM v2哈希
1.ntlmssp过滤
2.为了破解ntlmv2,我们需要找到如下信息
username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response
3.找到NTLMSSP_AUTH包,并过滤到下图内容
可获得
username和domain
4.追踪NTLM response
可获得NTproofstring和modifiedntlmv2response
此处注意ntlmv2response的开头是NTproofstring,需要删除ntlmv2response里的重复部分
5.过滤搜索ntlmssp.ntlmserverchallenge,找到符合条件的包
获得NTLM Server Challenge
自此,获得了username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response 的所有信息
6.将该字符串保存后使用hashcat破解
hashcat -m 5600 保存的字符串.txt 密码字典.txt -o 结果.txt --force
hashcat具体操作可参考https://blog.csdn.net/SHIGUANGTUJING/article/details/90074614
7.利用python自动提取pcap包中的ntlmv2 hash
可参考https://github.com/gh-balthazarbratt/nocashvalue