it-swarm.com.de

Grundlegendes zu lokalen Windows-Kennwort-Hashes (NTLM)

Ich habe kürzlich einige Hashes von meinem lokalen Computer ausgegeben, weil ich versuche, den Prozess zu verstehen, in dem Windows 7 die Kennwörter hascht.

Ich habe meinen lokalen Passwort-Hash entdeckt, der (ähnlich) so aussieht: Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::

Was ich jetzt wissen möchte, ist, was die verschiedenen Abschnitte bedeuten, also:

Wir haben diesen Hash: Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::, Der durch : Getrennt zu sein scheint. Wenn wir diesen durch : Trennen, erhalten wir Folgendes:

[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :]
  • Ich gehe davon aus, dass der erste Teil Jason der Benutzername ist, das ist für mich am logischsten.
  • Der dritte Teil aad3c435b514a4eeaad3b935b51304fe Ist der ntlm-Hash, den ich am besten erraten würde.

Wenn meine Annahme richtig ist, bleiben c46b9e588fa0d112de6f59fd6d58eae3 Und 502 Links.

  • Ich würde vermuten, dass der andere Hash (c46b9e588fa0d112de6f59fd6d58eae3) Der abgeleitete Schlüssel ist, der aus dem Passwort selbst erstellt wird.
  • Der 502 Wäre die Binärdaten des Benutzers.
  • Und der : Ist nur ein Trennzeichen oder eine Polsterung.

Bin ich nun bei meiner Frage richtig in meinen Annahmen darüber, was jeder Teil des Hash darstellt? Wenn nicht, kann mir bitte jemand erklären, was jeder Teil darstellt?

7
13aal

Verwenden von

[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :] 

als Beispiel

  • Jason ist der Benutzername

  • 502 ist die relative Kennung (500 ist ein Administrator, 502 ist hier ein Kerberos-Konto.) (adsecurity.org/?p=483)

  • aad3c435b514a4eeaad3b935b51304f ist der LM-Hash

  • c46b9e588fa0d112de6f59fd6d58eae3 ist der NT-Hash

Details zum Unterschied zwischen den Hashes finden Sie hier: LM/NT Hashes

8
iainpb