• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

hashcat, mimikatz, NTLM и кириллица

L

locaoc

New member
04.08.2021
2
0
BIT
0
Экспериментирую с Hashcat. Ситуация следующая.
Имеется результат работы mimikatz.
Код: 
Authentication Id : 0 ; 104256 (00000000:00019740)
Session           : Interactive from 1
User Name         : 050001049
Domain            : Logon Time        : 04.08.2021 12:46:08
SID               : S-1-5-21-3847863184-3860351418-1009135163-1001
        msv :
         [00000003] Primary
         * Username : 050001049
         * Domain   :
         * NTLM     : 2e1d7cf921138526e12ae5f7bbc42e4b
         * SHA1     : 052893e99cc9eec352d957ee01bfd72052c893ca
         [00010000] CredentialKeys
         * NTLM     : 2e1d7cf921138526e12ae5f7bbc42e4b
         * SHA1     : 052893e99cc9eec352d957ee01bfd72052c893ca
        tspkg :
        wdigest :
         * Username : 050001049
         * Domain   :
        kerberos :
         * Username : 050001049
         * Domain   : (null)
        ssp :
        credman :
Пользователю 050001049 задан пароль Свсу28. так как пароль на русском mimikatz этот пароль не отображает.
в Hashcat задаю команду на подбор
Код: 
hashcat -m 1000 -a 3 -1 D0D1 -2 A1B28183 -3 3238 --hex-charset 2e1d7cf921138526e12ae5f7bbc42e4b ?1?2?1?2?1?2?1?2?3?3
но безрезультатно.
Но если подставить вычисленный на сайте
Ссылка скрыта от гостей
NTLM хеш пароля Свсу28 то подбор выполняется успешно.
Код: 
hashcat -m 1000 -a 3 -1 D0D1 -2 A1B28183 -3 3238 --hex-charset 87758F641695FAD1D9C2B882D817A7CF ?1?2?1?2?1?2?1?2?3?3
Подскажите пожалуйста что я делаю не так? почему NTLM хеш для Свсу28 на сайте выше и в mimikatz разный? как правильно расшифровать NTLM из mimikatz для пароля с русскими символами?
 
Сортировать по дате Сортировать по голосам
L

locaoc

New member
04.08.2021
2
0
BIT
0
и еще один вопрос назрел. случайно обнаружил, на одном из серверов под windows server 2008 mimikatz вытащил пароль содержащий русские буквы, хоть и не в правильной кодировке. на других windows server 2008 mimikatz не достает этот пароль. в чем может быть проблема? как определить разницу между этими windows server 2008?
 
За 0 Против
migu

migu

Grey Team
14.01.2020
224
60
BIT
11
  1. а какая ошибка в hashcat при подсчете команды ?
  2. у меня точного ответа нет. возможно, к паролю добавляется соль. надо знать как формируется хэш пароля в Win server 2008
  3. пройди nmap-ом, чтобы проверить версии билдов серверов, возможно что дело в этом.
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ