不能用John或Hashcat破解响应器散列
我在一个测试网络中运行Responder,并从一台Windows机器上获得哈希。机器的日志显示如下(出于安全原因更改了一些字节),并存储在一个名为“SMB-NTLMv2-SSP-192.168.2.12.txt”的文件中:
user::user-PC:1122334455667788:0340FB9C9E4F88BEEBBC92105213BD05:0101000000000000D5F72CCE1F6AD301265492A58DFAC6E50000000002000A005300411111111111111101000A0053004D0042003100320004000A002364171BCD43100320003000A0053004D0042003100320005000A0053004D004200310032000800300030000000000000000100000000200000AAD247A0EB2290A13305EA760905EEFD95C50BF057C3BAEEABC821111111111111111100000000000000000000000000000000000900160063006900660073002F006100730064006100730066000000000000000000
我在Responder中使用的选项是-wF。
问题是我根本无法破解这个哈希。所有指南都显示攻击者将日志文件输入到hashcat或JohnTheRipper中,哈希被破解,但当我这样做时,会得到:
在约翰:“没有密码散列加载(见常见问题)”中的哈希猫:“没有哈希加载”
这两个程序似乎都无法识别哈希。另外,我很困惑:在散列中,每个字段(用分号分隔)意味着什么?我知道这是一个挑战-响应协议,那么哪一部分是挑战,哪一部分是响应?
提前谢谢!!
回答 1
Security用户
发布于 2017-12-01 06:52:00
您的Responder散列可能无效、损坏或使用过时的格式。您是否可能使用较早版本的Responder,如这个问题中所指出的那样?
展示我的作品:
通常,验证哈希猫攻击的最佳方法对于特定的哈希类型是正确的,那就是尝试对来自示例散列的hashcat wiki列表的示例哈希进行攻击。对于NetNTLMv2 (模式5600 -这是您正在使用的吗?),下面是字符串‘hashcat’的示例散列:
admin::N46iSNekpT:08ca45b7d7ea58ee:88dcbe4446168966a153a0064958dac6:5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030
..。我的hashcat (4.0.1)为我加载了以下内容:
hashcat -m 5600 -a 3 test.hashes但是我的hashcat版本无法加载您的散列--不是使用您正在看到的“没有散列加载”,而是带有一个“盐值异常”错误。(您运行的是一个较旧版本的hashcat吗?)
我还尝试了一些教程文章(就像这个)中显示的应答者散列,并且能够使用-m 5600将它们加载到hashcat中。
因此,我初步得出结论,你的散列有问题。
https://security.stackexchange.com/questions/174683
复制相似问题
腾讯云开发者
