利用hashcat破解NTLMv2 hash

前言：

---

当我们利用Responder拿到目标机做SMB文件共享时使用的NetNTLMv2 hash后，可以利用HashCat对该hash进行破解，还原出明文密码

NetNTLMv2 Hash提取：

---

本次密码破解只需要分析以下两个数据包 smb 协议层下的Security blob

NTLMv2 hash 拼接格式：

username::domain:ServerChallenge:NTproofstring:modifiedntlmv2response

username和domain：

ServerChallenge：

NTproofstring：

modifiedntlmv2response：选择"As a Hex Stream"，然后把前面NTproofstring部分去掉

最后获取的NetNTLMv2 Hash：

Administrator::xxxxx:df723e959c4xxxxx:f2958e36eb0d00d5cf03a256e8129a93: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

注意：xxxxx部分为打码字段

hashcat利用过程：

---

# 利用字典进行爆破：
hashcat.exe -m 5600 hash.txt pass.txt

# 纯暴力枚举：
hashcat -m 5600 -a 3 --force hash.txt --increment --increment-min 9 --increment-max 11 ?l?l?l?l?l?l?l?l?l?s?s

成功得到结果：

参考如下：

---

“九步曲”——从.pcap文件破解NTLMv2 Hash
NTLMv2和v1 hash 破解 （smb 协议 用户密码破解）
HashCat：如何利用HashCat破解NTLMv2 hash？
渗透技巧——利用netsh抓取连接文件服务器的NTLMv2 Hash