Wireshark分析--SMB2协议包及hashcat爆破

目录

【概述】

【Wireshark分析】

【smb-hash爆破】

1、构造hash文件

2、通过hashcat爆破


【概述】

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议,主要用于在计算机间共享文件、打印机、串口等。一般使用的端口为139,445。

【Wireshark分析】

1、通过wireshark打开报文文件,如下截图

可以看到有一个http请求,获取一个dict.tx的文件 。

2、选择http请求通过追踪tcp流可以获取dict的内容,如下图。可以猜测这个dict应该是密码字典文件

 3、继续查看报文发现报文文件有smb协议,里面有主机信息和用户名信息

 那么接下来应该就是要想办法破解smb协议。

【smb-hash爆破】

1、构造hash文件

1.1、构造方法:

username::domain:ntlmv2_response.chall:ntproofstr:不包含ntproofstr的ntlmv2_response值

1.2 通过分析smb协议包,打开报文,查看SMB2层--Security Blob层级的报文

 根据1.1生成hash文件

2、通过hashcat爆破

hashcat的获取地址

https://github.com/hashcat/hashcat

通过hashcat指令进行爆破,如下 

hashcat -a 0 xxx.hash dict.txt –force

注:如果dict文件存放的是md5密文,则需要用-m这个参数。

结果如下:

以上内容仅供学习使用!

  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wireshark是一款常用的网络协议分析工具,可以用于抓取和分析网络数据包。下面是使用Wireshark分析ARP协议过程的步骤: 1. 打开Wireshark并选择要抓取的网络接口。 2. 在过滤器中输入"arp",以便只显示与ARP协议相关的数据包。 3. 开始抓取数据包。 4. 分析ARP协议的地址解析过程: - 首先,ARP请求包(ARP Request)被发送到网络上的广播地址,以查找目标IP地址对应的MAC地址。 - 接下来,网络上的所有主机都会接收到ARP请求包,但只有目标主机会响应。 - 目标主机收到ARP请求包后,会发送一个ARP响应包(ARP Reply),其中包含自己的MAC地址。 - 发送ARP请求的主机收到ARP响应包后,会将目标IP地址与对应的MAC地址进行映射,并将其存储在本地的ARP缓存中,以便以后的通信中使用。 5. 分析ARP协议的自主学习逻辑: - 当主机A发送ARP请求包时,如果主机B的IP地址与ARP请求包中的目标IP地址匹配,则主机B会发送ARP响应包给主机A,并将主机A的IP地址与MAC地址进行映射。 - 主机A收到ARP响应包后,将主机B的IP地址与MAC地址进行映射,并将其存储在本地的ARP缓存中。 - 这样,主机A就可以直接使用主机B的MAC地址进行通信,而无需再发送ARP请求包。 6. 分析初次访问和多次访问的区别: - 初次访问:当主机A第一次与主机B通信时,主机A会发送ARP请求包来获取主机B的MAC地址。 - 多次访问:在初次访问后,主机A会将主机B的IP地址与MAC地址进行映射,并将其存储在本地的ARP缓存中。在后续的通信中,主机A会直接使用主机B的MAC地址进行通信,而无需再发送ARP请求包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值