Bad-PDF. Кража NTLM-хеша с помощью PDF-файла

PDF

В статье рассмотрим еще одну технику взлома Windows, с помощью кражи и последующей расшифровки NTLM-хеша. В краже NTLM нам поможет бесплатная утилита Bad-PDF.

Еще по теме: Способы повышения привилегий в Windows

Что такое NTLM Hash

Microsoft Windows New Technology LAN Manager (NTLM) — это протокол сетевой аутентификации. NTLM пришла на замену Microsoft LAN Manager (LANMAN), более раннего продукта Подробно можете прочитать на Вики.

Кража NTLM-хеша с помощью Bad-PDF

Bad-PDF работает следующим образом. Тулза создает вредоносный PDF-документ для захвата NTLM (NTLMv1 / NTLMv2) хэшей Windows и через Responder (прослушиватель) проверяет хэши NTLM.

Для реализации нам понадобиться стенд:

  • Атакующая виртуальная машина с Kali Linux
  • Виртуальная машина жертвы Windows 10.

Кража NTLM-хеша с помощью Bad-PDF

Установка Bad-PDF

Клонируйте Bad-PDF с GitHub на рабочий стол Kali Linux. Измените каталог на клонированный и дайте права на выполнение файлу Python Bad-PDF.

Установка Bad-PDF

Перехват NTLM-хэшей

Шаг 1: Запустите Bad-PDF.

Шаг 2: Введите IP-адрес виртуальной машины Kali Linux.

Шаг 3: Задайте имя файла и имя интерфейса.

После создания, вредоносный PDF-файл будет лежать в папке Bad-Pdf.

Создание вредоносного файла bad-pdf

Шаг 4: Скиньте вредоносный Pdf-файл на целевой компьютер. Я, как правило, использую cifs-utils. При пентесте это можно сделать с помощью социальной инженерии.

Создание PDF для кражи NTLM хеша

Как только жертва запустит файл PDF, хеши NTLM будут перехвачены.

Шаг 5: Сохраните захваченный хеш в текстовый документ на рабочий стол Kali Linux, для дальнейшего взлома пароля.

v

Перехват NTLM хеша с Bad-PDF

Расшифровка NTLM-хеша с помощью John the ripper

Для взлома пароля используйте John the ripper или Hashcat. Я в данном примере, буду использовать John the ripper.

Расшифровка NTLM-хеша с помощью John the ripper

Мы взломали пароль администратора Windows 10.

Заключение

Kerberos, как и NTLM, — это протокол аутентификации, затрудняющий взлом паролей Windows. NTLM фокусируется на хешировании паролей, одностороннем методе, который генерирует фрагмент текста из входных данных.

Kerberos использует шифрование, двусторонний механизм, который шифрует и дешифрует данные с помощью ключа шифрования. NTLM действует как резервная копия протокола Kerberos, который в настоящее время является инструментом аутентификации Microsoft по умолчанию.

Еще по теме: Перехват хеша NTLM и брут пароля

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий