Wireshark分析--SMB2协议包及hashcat爆破

置顶 已于 2022-10-18 14:20:48 修改
阅读量4.4k 收藏 12
点赞数 1
分类专栏: 安全测试 文章标签: 安全 wireshark
于 2022-10-18 14:13:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hapenl/article/details/126816047
版权

目录

【概述】

【Wireshark分析】

【smb-hash爆破】

1、构造hash文件

2、通过hashcat爆破

【概述】

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议,主要用于在计算机间共享文件、打印机、串口等。一般使用的端口为139,445。

【Wireshark分析】

1、通过wireshark打开报文文件,如下截图

可以看到有一个http请求,获取一个dict.tx的文件 。

2、选择http请求通过追踪tcp流可以获取dict的内容,如下图。可以猜测这个dict应该是密码字典文件

 3、继续查看报文发现报文文件有smb协议,里面有主机信息和用户名信息

 那么接下来应该就是要想办法破解smb协议。

【smb-hash爆破】

1、构造hash文件

1.1、构造方法:

username::domain:ntlmv2_response.chall:ntproofstr:不包含ntproofstr的ntlmv2_response值

1.2 通过分析smb协议包,打开报文,查看SMB2层--Security Blob层级的报文

 根据1.1生成hash文件

2、通过hashcat爆破

hashcat的获取地址

https://github.com/hashcat/hashcat

通过hashcat指令进行爆破,如下 

hashcat -a 0 xxx.hash dict.txt –force

注:如果dict文件存放的是md5密文,则需要用-m这个参数。

结果如下:

以上内容仅供学习使用!

Hapen_Lu
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SMB 协议详解之-process/user/session/tree/message/file ID原理和数据包分析技巧
村中少年的专栏
05-16 993
介绍SMB协议中process id,session id,user id,tree id,file id, message id的作用,并介绍如何利用各种过滤实现快速理解SMB数据包的业务逻辑
实验吧杂项-流量日志分析
Au
09-11 1252
A记录 数据包 题目描述如下: 下载下来是一个cap文件,用wireshark打开,提示文件截断 观察流量发现为无线流量,加上之前的报错,猜测为已加密的数据包 破解加密的无线数据包需要得到数据包的 ESSID 和 PASSWORD 使用Kali集成的aircrack-ng 爆破工具得到ESSID为 0719 加密方式为 WPA加密(脆弱) 加载字典...
SMB2协议介绍
weixin_43107388的博客
03-02 3479
smb2协议介绍
【电子取证】Wireshark教程:从流量包中导出文件
longxintec的博客
06-04 1474
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
NTLM网络认证协议分析及Net-NTLMhash的获取
good good study
03-04 3712
​Windows认证分为本地认证和网络认证,传送门——>Windows认证原理,计算机开机时用户输入账户密码,这一行为要经过windows的本地认证。而比如当我们访问同一局域网的一台主机上的SMB共享时提供凭证通过验证才能成功进行访问,这就涉及到windows的网络认证。
NTLMv2和v1 hash 破解 (smb 协议 用户密码破解)
正在成为 code ape
08-23 5105
wireshark samba protocol analysis (count password by hash) 实验比较简单,原理我们就不说了,直接做就是了。相信你们都懂的哈。 first ,look: 注意:本次密码破解只需要分析以下两个数据包 smb 协议层下的Security blob STATUS_MORE_PROCESSING_REQUIRED 以下简写为: srecv NTLMSSP_AUTH,User: 192.168.62.139\a 以下 简写为: csend NTLM
渗透测试 ( 1 ) --- 必备 工具、导航
墨鱼菜鸡
07-11 2986
From:https://zhuanlan.zhihu.com/p/401413938 渗透测试实战教学:https://www.zhihu.com/column/c_1334810805263515648 导航类网站: 渗透师网络安全从业者安全导航(速查小手册)--- 渗透师导航:https://www.shentoushi.top/安全圈 in...
kali-linux知识整理与渗透测试指南
5L2g556F5ZWl77yf
04-07 1967
Kali Linux入门与介绍 渗透测试实施步骤 信息搜集 目标识别 SMB枚举 SNMP枚举 漏洞映射 第三类测试 漏洞利用 提权 后门
HTB-Absolute
2201_75378806的博客
06-01 815
与许多 Potato 攻击的工作原理非常相似,我需要具有正确权限的有效 RPC 服务的 CLSID。因此,我们的想法是授予 m.lovegod 网络审计组的权限/ACL,将 m.lovegod 添加到该组,对 winrm_user 执行影子凭证攻击,最终获取他的 TGT。因此,如果我们可以写入该属性,则意味着我们可以获得该帐户的有效 TGT。使用kinit d.klay 直接生成票据的时候不行,是我的/etc/krb5.conf没配置好,后面有空来看看这两个错误。该用户名未知,并且不符合其他帐户的格式。
htb-Mailing
whale_waves的博客
05-23 1180
Microsoft Office Outlook是微软office的组件之一,也是常用的邮件客户端之一。CVE-2024-21413 是在 Microsoft Outlook 中发现的一个重大安全漏洞,CVSS 评分 9.8。攻击者将一个带恶意链接的邮件发送给被攻击用户,当用户点击链接时,会导致NTLM窃取与远程代码执行(RCE),并且该漏洞还能使攻击者能够绕过Office文档的受保护视图。本文先讲复现过程,后讲漏洞原理。
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
这个名为"Wireshark-win64-2.9.0"的版本是专为64位Windows操作系统设计的,提供了对网络数据包的深度捕获和分析功能。 1. **Wireshark介绍**: Wireshark是开源软件,它的核心功能是对网络流量进行实时捕获和离线...
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-CSDN博客.html
11-10
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-CSDN博客.html
计算机网络原理实验报告---Wireshark实验:HTTP协议分析
01-20
本次实验是关于计算机网络原理的Wireshark工具使用,主要目标是对HTTP协议进行深入分析。实验过程中,我们使用Wireshark对电脑的WLAN端口进行抓包,观察并解析访问www.baidu.com网站时的网络通信过程。通过对HTTP...
Wireshark抓包全集-85种协议
11-01
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、网络安全分析协议学习。本资源"Wireshark抓包全集-85种协议"涵盖了85种不同的网络通信协议,包括基础的和复杂的协议,对于深入理解网络工作原理和...
使用wireshark抓包软件分析微信协议-计算机网络实验大作业.doc
06-07
Wireshark是一款强大的网络封包分析软件,常用于网络故障排查、网络安全分析及教学实验。在本实验中,学生利用Wireshark对微信协议进行了深入分析,主要涉及以下几个知识点: 1. **网络协议分析**:Wireshark允许...
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 267
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
内网安全:IPC横向
8888的博客
07-23 663
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1092
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
2.Wireshark分析ARP协议过程
12-31
Wireshark是一款常用的网络协议分析工具,可以用于抓取和分析网络数据包。下面是使用Wireshark分析ARP协议过程的步骤: 1. 打开Wireshark并选择要抓取的网络接口。 2. 在过滤器中输入"arp",以便只显示与ARP协议相关的数据包。 3. 开始抓取数据包。 4. 分析ARP协议的地址解析过程: - 首先,ARP请求包(ARP Request)被发送到网络上的广播地址,以查找目标IP地址对应的MAC地址。 - 接下来,网络上的所有主机都会接收到ARP请求包,但只有目标主机会响应。 - 目标主机收到ARP请求包后,会发送一个ARP响应包(ARP Reply),其中包含自己的MAC地址。 - 发送ARP请求的主机收到ARP响应包后,会将目标IP地址与对应的MAC地址进行映射,并将其存储在本地的ARP缓存中,以便以后的通信中使用。 5. 分析ARP协议的自主学习逻辑: - 当主机A发送ARP请求包时,如果主机B的IP地址与ARP请求包中的目标IP地址匹配,则主机B会发送ARP响应包给主机A,并将主机A的IP地址与MAC地址进行映射。 - 主机A收到ARP响应包后,将主机B的IP地址与MAC地址进行映射,并将其存储在本地的ARP缓存中。 - 这样,主机A就可以直接使用主机B的MAC地址进行通信,而无需再发送ARP请求包。 6. 分析初次访问和多次访问的区别: - 初次访问:当主机A第一次与主机B通信时,主机A会发送ARP请求包来获取主机B的MAC地址。 - 多次访问:在初次访问后,主机A会将主机B的IP地址与MAC地址进行映射,并将其存储在本地的ARP缓存中。在后续的通信中,主机A会直接使用主机B的MAC地址进行通信,而无需再发送ARP请求包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值