Tu jest oryginalny wpis o jak crackować hash NTLMv2 pobierany z pliku pcap, wszystko opisane ładnie i dokładnie, ze zrzutami ekranu, ale pozwolę sobie na skrócony mirror, bo przydaje mi się to sporadycznie, a sądząc po kondycji strony z oryginałem niewykluczone, że do tego czasu oryginalny wpis zniknie (obym się mylił).
- Filtr ntlmssp w wireshark.
- Potrzebne dane w formacie dla hashcata, zapisywane w crackme.txt:
username::domain:ServerChallenge:NTProofstring:ntlmv2response - Oryginalne ntlmv2response zawiera na swoim początku NTProofstring, należy go usunąć przed użyciem wyżej.
- Uruchomienie:
hashcat -m 5600 crackme.txt passwordlist.txt
Jak widać ekstrakcja hashy NTLMv2 potrzebnych danych ze zrzutu ruchu sieciowego jest ręczna. Szukałem pobieżnie automatu, ale nie znalazłem, a skoro używam rzadko, to pisać nie ma sensu. W sumie nie tyle pisać, co próbować pisać, bo rozmieszczenie danych miałem nieco inne, niż w linkowanym przykładzie. Gdyby jednak ktoś znał coś takiego, to chętnie poznam.