首先你要有一个pcap文件且含有NTLM v2哈希

1.ntlmssp过滤

2.为了破解ntlmv2，我们需要找到如下信息

username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response 

3.找到NTLMSSP_AUTH包，并过滤到下图内容

 

 

可获得

username和domain

4.追踪NTLM response

 

 

 可获得NTproofstring和modifiedntlmv2response 

此处注意ntlmv2response的开头是NTproofstring，需要删除ntlmv2response里的重复部分

5.过滤搜索ntlmssp.ntlmserverchallenge，找到符合条件的包

 

获得NTLM Server Challenge

 

自此，获得了username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response 的所有信息

 

 

6.将该字符串保存后使用hashcat破解

hashcat -m 5600 保存的字符串.txt 密码字典.txt -o 结果.txt --force

hashcat具体操作可参考https://blog.csdn.net/SHIGUANGTUJING/article/details/90074614

7.利用python自动提取pcap包中的ntlmv2 hash

可参考https://github.com/gh-balthazarbratt/nocashvalue