Wireshark抓包分析SMB2协议及密码爆破实战

原创 于 2025-11-12 10:36:12 发布 · 897 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

快速体验

  1. 打开 InsCode(快马)平台 https://www.inscode.net
  2. 输入框输入如下内容 
    帮我开发一个SMB协议分析演示系统,用于展示如何通过Wireshark捕获SMB2协议包并进行密码爆破。系统交互细节:1.模拟SMB协议通信过程 2.展示Wireshark抓包关键字段 3.生成hashcat可识别的hash文件 4.演示爆破流程。注意事项:仅供学习测试使用。
  3. 点击'项目生成'按钮,等待项目生成完整后预览效果

示例图片

Wireshark抓包分析要点

  1. SMB协议基础认知 SMB协议是微软网络的核心通信协议,工作在OSI模型的会话层和表示层,主要用于文件、打印机等资源共享。现代Windows系统主要使用SMB2/SMB3版本,默认通过445端口通信。抓包分析时需要重点关注认证过程和加密方式。

  2. 关键报文捕获技巧 在混杂模式下抓取流量时,可使用"smb2"过滤条件快速定位SMB协议包。认证阶段的Negotiate、Session Setup等报文包含重要信息,其中NTLMv2认证响应数据是后续爆破的关键。

  3. 密码字典获取方式 实际渗透测试中常通过HTTP等方式获取密码字典文件。在Wireshark中可通过追踪TCP流功能还原文件传输过程,注意识别常见的字典文件特征如txt格式、逐行密码排列等。

Hashcat爆破实战流程

  1. Hash文件构造规范 需要从SMB2协议的Security Blob层提取特定字段组合:用户名、域名、NTLMv2响应值中的挑战值和proofstr等。格式必须严格遵循"username::domain:chall:proofstr:response"结构,否则会导致hashcat无法识别。

  2. 爆破参数选择技巧 根据目标系统使用的认证协议选择对应hash模式,NTLMv2对应-m 5600参数。字典攻击使用-a 0模式,可结合-m参数指定字典预处理方式。注意使用--force参数可跳过GPU检测警告。

  3. 结果分析与验证 爆破成功后需在真实环境验证密码有效性。建议优先尝试WEB、RDP等其他服务,避免频繁触发目标系统的账户锁定策略。同时要注意法律风险,仅限授权测试使用。

安全防护建议

  1. 企业防护措施 建议禁用SMBv1协议,启用SMB签名功能,配置账户锁定阈值,定期更新补丁。对于外网服务器应关闭445等敏感端口。

  2. 密码策略优化 强制使用复杂密码并定期更换,避免密码字典中包含常见组合。可部署多因素认证提升安全性。

  3. 监控与告警 部署IDS/IPS系统监控异常认证尝试,对高频失败的登录行为及时告警。保留完整日志便于事后审计。

示例图片

通过InsCode(快马)平台可以快速搭建SMB协议分析环境,无需配置复杂的抓包和爆破工具链。实际测试发现其内置的Wireshark模拟器和hashcat集成功能特别适合学习网络安全基础知识,一键部署后立即能看到完整的攻击演示流程。

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
杨秀璋的专栏
01-13 1万+
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台获取邀请码、注册过程。本文将分享Web渗透三道入门题目,它们包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。基础性文章,希望对您有所帮助!
SMB暴力破解攻击,什么鬼?
三分恶的博客
03-31 2万+
最近在做的项目线上环境是Windows Server,有一天,安全检查的时候发现产环境服务器高危——服务器遭受了SMB暴力破解攻击! 遇到事情不要慌,先发……百度一下。 暴力破解攻击:暴力破解攻击是指攻击者通过系统的组合所有可能性(例如登录时用的账户名.密码),尝试所有的可能性破解用户的账户名.密码等敏感信息,攻击者会经常使用自动化脚本组合出正确的用户名和密码。  暴力破解攻击是一种穷...
web渗透测试----5、暴力破解漏洞--(3)FTP密码破解
七天
06-23 2134
FTP暴力破解
Wireshark分析--SMB2协议包及hashcat爆破
hapenl的博客
10-18 8741
通过wiresharkSMB协议包的分析以及构造hash爆破文件的方法,最后通过hashcat进行爆破获取用户相关敏感信息
[学习记录]内网应急实验——对SMB协议弱口令爆破事件进行日志分析
渗透为止的博客
04-14 1714
SMB协议弱口令爆破事件进行日志分析
kali里的那些小工具-SMB密码爆破
2302_78276131的博客
06-30 1129
尝试连接windows目标主机的默认共享文件,通过SMB 445端口开放的那些文件共享。在爆破完成后会在当前目录生成一个cracked的文件,里面存放着刚才爆破出的正确信息。IPC$:进程间通信共享,windows之间进行远程的指令通信。success:爆破成功,后面是正确的用户名和密码。ADMIN$:管理文件共享,只有管理员可以访问。-T 要爆破密码的系统们的IP地址表的文件。-t 要爆破密码的系统的IP地址。-v 将爆破的过程显示出来。-U 爆破用户名的表文件。-P 爆破密码的表文件。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
Windows认证机制和协议---Kerberos协议
Naive的博客
05-03 2601
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
wireshark数据流跟踪-密码爆破溯源
m0_62621003的博客
06-24 1574
因为爆破的原理就是发送大量的爆破报文去尝试破解密码,所以在端点界面中点击packets,使得排序方式为从大到小排序。就可以在该图中得知192.168.10.5为发起爆破的主机,59.191.245.66为被爆破的主机。将过滤出来的报文,右键一个报文选中追踪tcp流,将数据重组,可以看到报文中携带的用户名以及密码。路径:Analyze-Foloow TCP stream 分析-跟踪tcp流。功能:将TCP、UDP、SSL等数据流进行重组并完整呈现出来。例如:在进行爆破溯源的时候,分析-端点可以进行统计。
Kali中SMB爆破工具—acccheck
weixin_50464560的博客
04-29 2266
acccheck简介 acccheck是一个用于探测目标主机是否开放smb服务并且尝试连接目标默认IPC$、ADMIN$共享,并且通过字典文件尝试爆破smb服务的账号密码。这一个工具在Kali 2018中已经默认装了,下面是他的使用说明: 这个工具的参数较少,而且英语解释也非常简单,这里我就不再多做解释了,下面来进行一个简单的演示操作: 首先在目标靶机中使用管理员权限运行cmd,之后在该CMD中...
网络安全之渗透实战学习
Innocence_0的博客
10-16 1455
对于SCF文件攻击,我们也可以通过下列方法来防止这种攻击的发生:1、使用Kerbeors认证或SMB签名;2、禁用共享文件给未认证用户所提供的写入权限;3、确保使用的是NTLMv2密码并增加口令的复杂程度。
windows server 2008攻略之SMB V2漏洞
eyes22_2011的唧歪
10-27 3649
随着操作系统的不断升级,windows 7,vista,server 2008的适用面越来越广,许多如我一般的菜鸟级选手知不是拿windows server 2008无计可施呢。windows server 2008继承于server 2003,但它提供了一系列新的和改进的安全技术,这些技术增强了对操作系统的保护。比如:Network Access Protection (NAP);Microso
弱口令(Weak Password)总结和爆破工具
热门推荐
博客地址 www.sec0nd.top
09-01 3万+
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。...
笔记-hydra工具对目标计算机的SSH(或SMB、或FTP服务)进行口令爆破
m0_74037751的博客
10-21 1277
修改vsftpd.conf 将anonymous_enable=YES ,改为NO ,然后重启vsftpd(/etc/vsftpd/vsftpd.conf。#配置虚拟机ip地址,设定为NAT连接,打开ssh服务,设置弱密码(这里设定的是root)回到kali,smbclient \\ip\共享文件夹 -U 用户名进行连接,成功拿下。hydra -l [用户名] -P [爆破字典] [IP] [服务] -vV。#靶机开启ftp服务,创建用户roott,密码QWEasd123 关闭防火墙。
Hydra暴力破解smb协议(Windows用户名和密码
村口王大爷的博客
05-26 9472
首先什么是hydra Hydra对应的英文意思是九头蛇,它是一款爆破神器,可以对多种服务的账号和密码进行爆破,包括Web登录、数据库、SSH、FTP等服务,支持Linux、Windows、Mac平台安装,其中Kali Linux中自带Hydra。 暴力破解攻击:暴力破解攻击是指攻击者通过系统的组合所有可能性(例如登录时用的账户名.密码),说白了就是穷举法,尝试所有的可能性破解用户的账户名.密码等敏感信息,攻击者会经常使用自动化脚本组合出正确的用户名和密码SMB:全称是Server Message Bl
Kali中SMB爆破工具————acccheck
Fly_鹏程万里
06-08 5766
acccheck简介acccheck是一个用于探测目标主机是否开放smb服务并且尝试连接目标默认IPC$、ADMIN$共享,并且通过字典文件尝试爆破smb服务的账号密码。这一个工具在Kali 2018中已经默认装了,下面是他的使用说明:这个工具的参数较少,而且英语解释也非常简单,这里我就不再多做解释了,下面来进行一个简单的演示操作:...
那么学到什么程度才能实操呢
最新发布
09-12
需要重点评估三点:协议分析能力(如用Wireshark抓包改包)、基础漏洞复现(DVWA里手动SQL注入)、工具链控制力(Burp被动扫描模式的使用纪律)。这些在回复里要用具体例子说明,比如"能在Burp里自定义SQLi载荷"就比...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AzureMeadow65

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值