Hashcat、JTRなどのツールがNTLMv2ハッシュをブルートフォースできるのはなぜですか？

Question

（brute | dictionary | rainbowtable）-NTLMv2ハッシュを強制することの実現可能性に関する次の質問に関して：攻撃者がネットワークからキャプチャされたNTLMv2応答をブルートフォースで強制することはどの程度可能ですか？

..HashcatやJohn-the-ripperなどのツールがワードリストを使用してブルートフォースを実行できる方法を理解しようとしています。

ハッシュチャットとJTRは、数式のサーバーチャレンジ（SC）ビットとクライアントチャレンジ（CC、CC *）ビットを知らなくても、NTLMハッシュにこれをどのように実行できますか？.

これらの3つの値はすべて、ハッシュを「ランダム」にすることになっています。

それとも、それらのツールが総当たり的に8バイトのSCとCC、CC *の値も強制するということですか？

攻撃がどのように行われるかを示す記事はどこにでもあるので、攻撃の背後にある実際のメカニズムを理解しようとしています。例： https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

JimmyJames · Answer

ある日、少し脇道をついたとき、実際にこれを調査するのにかなりの時間を費やしました。 NTLMプロトコルスイートは複雑です。多くのバージョンが存在し、一部にはこの質問で説明したもののような明確な弱点があります。このリファレンスページは、これらのメッセージを構築および検証する方法に関する多くの技術的な詳細とコード例を提供します。

特定の攻撃では、攻撃者がサーバーを制御していることが1つの要因として指摘されます。つまり、攻撃者はすべてのチャレンジを確認し、サーバーのチャレンジなどを実際に制御できます。サーバーがプロトコルのより弱いバージョンとの交渉を試みることも可能ですが、それがその一部であるかどうかは明確ではありません。記事のすべてのパケットを通過するかどうかを判断できます。