1. 密码破解
1.1 破解 Windows 哈希实践
核心攻击场景:
本节聚焦于第三种场景:获取并破解 Net-NTLMv2 哈希。这是渗透测试中非常经典的一环,重点在于利用协议特性捕获挑战 - 响应包。
| 攻击类型 | 目标哈希 | 手法简介 |
|---|---|---|
| 获取并破解 NTLM 哈希 | NTLM 哈希 | 从内存或 SAM 数据库中提取哈希,并用工具如 Hashcat 破解 |
| 传递 NTLM 哈希 | NTLM 哈希 | 直接使用哈希进行身份验证,绕过密码需求 |
| 获取并破解 Net-NTLMv2 哈希 | Net-NTLMv2 哈希 | 通过中间人或欺骗获取挑战 - 响应包,离线破解 |
1.1.3 捕获 Net-NTLMv2 哈希实践
1. 攻击流程概述
在渗透测试中,直接获取明文密码往往困难,但利用协议漏洞捕获哈希值是常见手段。这里以 SMB 认证为例,整个流程大致分为准备、触发和捕获三个阶段。
2. Kali 准备
我们需要在攻击机(Kali Linux)上配置好监听服务。常用的工具是 Responder,它能伪造 LLMNR、NBT-NS 等协议的响应,诱导目标机器向攻击机发送认证信息。
启动 Responder 时,通常指定监听接口和端口:
sudo responder -I eth0 -wrf
-I eth0:指定监听网卡。-wrf:强制启用 WINS 和 LLMNR 响应,忽略已存在的 DNS 记录。
这一步很关键,确保你的攻击机 IP 能正确路由到目标网段。
3. 目标系统触发认证
接下来需要让目标主机主动发起连接。常见的做法包括共享文件夹访问、打印服务调用或利用其他 SMB 相关服务。一旦目标尝试连接你搭建的伪造服务,它会在未加密的情况下发送 Net-NTLMv2 哈希。
4. Responder 捕获结果
当目标触发认证后,Responder 会实时输出捕获到的哈希值。日志中通常会包含用户名、域名以及哈希字符串。
例如,你可能会看到类似这样的输出:
[+] Target found!
User : DOMAIN\Administrator
Hash : Administrator::DOMAIN:1122334455667788...
将这部分哈希保存下来,稍后用于破解。
1.1.3.5 破解 Net-NTLMv2 哈希
1. 破解步骤
拿到哈希后,下一步就是离线破解。Hashcat 是目前最强大的哈希破解工具之一,支持多种模式。
2. 保存哈希到文件并确定 hashcat 模式
首先将捕获到的哈希保存到文本文件中,例如 hash.txt。对于 Net-NTLMv2,Hashcat 使用的模式通常是 。
