При анализе сетевого взаимодействия часто используются такие программы как Wireshark, tcpdump и др., которые позволяют создавать дампы трафика, а затем его анализировать.
Иногда из дампа можно вытащить имена пользователей, пароли, хеши.
Сегодня делимся с вами инструментом, который позволяет достать из дампа NTLM хеши - https://github.com/mlgualtieri/NTLMRawUnHide
Поддерживаются различные форматы: .pcap, .pcapng, .cap, .etl
Использование:
Примеры:
Извлекаем NTLMv2 хеши из примера/capture.pcap:
С обратным выводом:
Извлекаем NTLMv2 хеши из примеров/capture.pcap и продолжаем мониторить файл на предмет появления новых хешей (типа как tail -f):
Извлекаем NTLMv2 хеши из примеров/capture.pcap и записываем извлеченные хеши в /tmp/hashes.txt
Иногда из дампа можно вытащить имена пользователей, пароли, хеши.
Сегодня делимся с вами инструментом, который позволяет достать из дампа NTLM хеши - https://github.com/mlgualtieri/NTLMRawUnHide
Поддерживаются различные форматы: .pcap, .pcapng, .cap, .etl
Использование:
Код:
Пример использования: NTLMRawUnhide.py -i <inputfile> [-o <outputfile>] [-f] [-h] [-q] [-v]
Код:
Основные опции:
-f, --follow Continuously "follow" (e.g. "read from")
input file for new data
-h, --help
-i, --input <inputfile> Binary packet data input file
(.pcap, .pcapng, .cap, .etl, others?)
-o, --output <outputfile> Output file to record any found NTLM
hashes
-q, --quiet Be a lot more quiet and only output
found NTLM hashes. --quiet will also
disable verbose, if specified.
-v, --verboseПримеры:
Извлекаем NTLMv2 хеши из примера/capture.pcap:
python3 NTLMRawUnhide.py -i examples/capture.pcapС обратным выводом:
python3 NTLMRawUnhide.py -i examples/capture.pcap -vИзвлекаем NTLMv2 хеши из примеров/capture.pcap и продолжаем мониторить файл на предмет появления новых хешей (типа как tail -f):
python3 NTLMRawUnhide.py -i examples/capture.pcap -fИзвлекаем NTLMv2 хеши из примеров/capture.pcap и записываем извлеченные хеши в /tmp/hashes.txt
python3 NTLMRawUnhide.py -i examples/capture.pcap -o /tmp/hashes.txt
