Windowsローカルパスワードハッシュ(NTLM)について
Windows 7がパスワードをハッシュするプロセスを理解しようとしているため、最近、ローカルマシンからいくつかのハッシュをダンプしました。
これに(similar)のようなローカルパスワードハッシュを発見しました:Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::
ここで私が知りたいのは、さまざまなセクションの意味です。
次のハッシュがあります:Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::これは:で区切られている場合、:で区切られているように見えます。
[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :]
- 私は最初の部分
Jasonがユーザー名であると想定しています。これは私にとって最も論理的なものです。 - 3番目の部分
aad3c435b514a4eeaad3b935b51304feは、ntlmハッシュが私の推測です。
私の仮定が正しい場合、c46b9e588fa0d112de6f59fd6d58eae3と502は残ります。
- 他のハッシュ(
c46b9e588fa0d112de6f59fd6d58eae3)は、パスワード自体から作成された派生キーであると思います。 502は、ユーザーのバイナリデータです。- そして
:は、単なるセパレータまたはパディングです。
さて、私の質問では、ハッシュの各部分が何を表すかについての私の仮定は正しいですか?できない場合、誰かが私に各部分が何を表しているかを説明できますか?
使用する
[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :]
例として
Jasonはユーザー名です502は相対識別子です(500は管理者、502はkerberosアカウントです)(adsecurity.org/?p=483)aad3c435b514a4eeaad3b935b51304fはLMハッシュですc46b9e588fa0d112de6f59fd6d58eae3はNTハッシュです
ハッシュの違いの詳細はここにあります: LM/NTハッシュ