Responder.conf
里面的Challenge为1122334455667788
(使用SpiderLabs版本的 话默认是1122334455667788
,但该版本已经停止更新了,建议使用lgandx版本,这一版本默认为Random
,需要修改)--lm
参数即可,\x05\x02\x89\xa2
,改成\x05\x02\x81\xa2
win10::WIN10-1:F1586DA184365E9431C22EF206F5A2C918659E1B1FD7F64D:F1586DA184365E9431C22EF206F5A2C918659E1B1FD7F64D:1122334455667788
NTHASH:F1586DA184365E9431C22EF206F5A2C918659E1B1FD7F64D
--lm
(仅限于smb 协议)NTHASH:E0F8C5B5E45247B4175698B99DBB5557CCD9241EA5A55CFB
到crack.sh破解,填上邮箱,等到一分钟左右就能收到ntlm hash了。--lm
)--lm
的情况下获取到的Net-NTLM v1 hash是采用第一种加密方式,但是只针对smb协议有效,在我的测试中,即使加了--lm
参数,收到的请求是Http协议的情况底下,拿到的Net-NTLM v1也是采用第二种加密方式,我们不好破解。所以我又去研究了下什么情况底下采用第一种加密方式,什么情况底下采用第二种加密方式。--lm
参数就可以将NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY位置为0。--lm
,为什么只针对smb 协议有效。其他协议无效。--lm
参数之后,调用的模块就是SMB1LMsmbrelayx.py
ntlmrelayx.py
MultiRelay.py
DS-Replication-GetChanges(GUID: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)
和DS-Replication-Get-Changes-All(1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
有write-acl 权限,那么就可以在该acl里面添加任意用户,从而使得该用户可以具备dcsync的权限