Форум АНТИЧАТ - Получение истинного хеша из Active Directory

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - Получение истинного хеша из Active Directory (https://forum.antichat.xyz/showthread.php?t=470495)

aCommonPerson

08.05.2019 14:25

Приветствую. Удалось сдампить хеши паролей учёток в AD. Но при анализе интересующей меня учётки (от которой мне известен пароль), я обнаружил несовпадение генериуемого мной хеша md5 и хеша взятого из домена.

422b4a5a3b4f468d7c564d8a6d5f8675 генерируемый мной

80e77f4390281470beec94f50d0ac92b взятый из системы

В чём причина?

Я просто учусь.(с)

Simonoff

08.05.2019 14:51

Виновата соль - https://habr.com/ru/post/145648/

aCommonPerson

08.05.2019 21:00

Спасибо, принцип ясен. Возникает вопрос: соль придётся подбирать, или для AD есть статическая соль?

Вот строка из дампа: 1601200003:66084:aad3b435b51404eeaad3b435b51404ee: 80e77f4390281470beec94f50d0ac92b:::

user100

10.05.2019 14:42

Цитата:

Сообщение от aCommonPerson

aCommonPerson said:
↑
Приветствую. Удалось сдампить хеши паролей учёток в AD. Но при анализе интересующей меня учётки (от которой мне известен пароль), я обнаружил несовпадение генериуемого мной хеша md5 и хеша взятого из домена.
422b4a5a3b4f468d7c564d8a6d5f8675 генерируемый мной
80e77f4390281470beec94f50d0ac92b взятый из системы
В чём причина?

Я просто учусь.(с)

Если речь идёт про AD из windows, то там хеши не в md5 а в ntlm, отсюда и разница

user100

14.05.2019 09:05

80e77f4390281470beec94f50d0ac92b:1999.10.08

aCommonPerson

16.05.2019 17:22

Цитата:

Сообщение от user100

user100 said:
↑
80e77f4390281470beec94f50d0ac92b:
1999.10.08

Да, спасибо. Я подобрал через hashcat и свой словарь. Можете сказать, какие словари вы использовали и чем подобрали?

user100

16.05.2019 17:26

Цитата:

Сообщение от aCommonPerson

aCommonPerson said:
↑
. Можете сказать, какие словари вы использовали и чем подобрали?

hashcat и словарь с датами.

Время: 19:18