Responderをテストネットワークで実行し、Windowsマシンからハッシュを取得しました。マシンのログは次のように表示され(セキュリティ上の理由で一部のバイトが変更されます)、「SMB-NTLMv2-SSP-192.168.2.12.txt」というファイルに保存されます。
ユーザー::ユーザー-PC:1122334455667788:0340FB9C9E4F88BEEBBC92105213BD05:0101000000000000D5F72CCE1F6AD301265492A58DFAC6E50000000002000A005300411111111111111101000A0053004D0042003100320004000A002364171BCD43100320003000A0053004D0042003100320005000A0053004D004200310032000800300030000000000000000100000000200000AAD247A0EB2290A13305EA760905EEFD95C50BF057C3BAEEABC821111111111111111100000000000000000000000000000000000900160063006900660073002F006100730064006100730066000000000000000000
Responderで使用したオプションは-wFでした。
問題は、このハッシュをまったく解読できないことです。すべてのガイドは、攻撃者がログファイルをhashcatまたはJohnTheRipperに入力し、ハッシュがクラックされることを示していますが、私がそれを実行すると、次のようになります。
Johnの場合:「パスワードハッシュが読み込まれていません(FAQを参照)」Hashcatの場合:ハッシュが読み込まれていません
どちらのプログラムもハッシュを認識できないようです。また、私は混乱しています:ハッシュ内の各フィールド(セミコロンで区切られている)はどういう意味ですか?私はそれがチャレンジ/レスポンスプロトコルであることを知っています。そのため、どの部分がチャレンジで、どの部分がレスポンスですか?
前もって感謝します!!
レスポンダーハッシュが無効であるか、破損しているか、古い形式を使用している可能性があります。 この質問 に記載されているように、古いバージョンのResponderを使用している可能性はありますか?
私の作品を表示:
一般に、hashcat攻撃を検証する最良の方法は、特定のハッシュタイプに対して正しい-- サンプルハッシュのhashcat wikiリスト からのサンプルハッシュに対して攻撃を試すことです。 NetNTLMv2(モード5600-それはあなたが使用しているものですか?)の場合、文字列 'hashcat'のハッシュの例を次に示します。
admin :: N46iSNekpT:08ca45b7d7ea58ee:88dcbe4446168966a153a0064958dac6:5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030
...私のハッシュキャット(4.0.1)は私のためにうまくロードします:
hashcat -m 5600 -a 3 test.hashes
しかし、私のバージョンのhashcatは、ハッシュをロードできません。表示されている「ハッシュがロードされていません」ではなく、「塩の値の例外」エラーが発生します。 (古いバージョンのhashcatを実行している可能性はありますか?)
また、いくつかのチュートリアル記事( これのように )に示されているレスポンダハッシュをいくつか試しましたが、-m 5600を使用してそれらをハッシュキャットにロードできます。
そのため、ハッシュに問題があると暫定的に結論付けました。