Wireshark分析--SMB2协议包及hashcat爆破

置顶 已于 2022-10-18 14:20:48 修改
阅读量7.4k 收藏 18
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 安全测试 文章标签: 安全 wireshark
于 2022-10-18 14:13:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hapenl/article/details/126816047
本文介绍了如何使用Wireshark分析SMB协议,并通过Wireshark抓取的数据构造hash文件,然后利用Hashcat工具进行密码爆破。详细步骤包括Wireshark捕获HTTP请求和SMB协议信息,以及hashcat的使用方法和爆破过程,展示了网络协议分析与密码破解的实际操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

【概述】

【Wireshark分析】

【smb-hash爆破】

1、构造hash文件

2、通过hashcat爆破

【概述】

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议,主要用于在计算机间共享文件、打印机、串口等。一般使用的端口为139,445。

【Wireshark分析】

1、通过wireshark打开报文文件,如下截图

可以看到有一个http请求,获取一个dict.tx的文件 。

2、选择http请求通过追踪tcp流可以获取dict的内容,如下图。可以猜测这个dict应该是密码字典文件

 3、继续查看报文发现报文文件有smb协议,里面有主机信息和用户名信息

 那么接下来应该就是要想办法破解smb协议。

【smb-hash爆破】

1、构造hash文件

1.1、构造方法:

username::domain:ntlmv2_response.chall:ntproofstr:不包含ntproofstr的ntlmv2_response值

1.2 通过分析smb协议包,打开报文,查看SMB2层--Security Blob层级的报文

 根据1.1生成hash文件

2、通过hashcat爆破

hashcat的获取地址

https://github.com/hashcat/hashcat

通过hashcat指令进行爆破,如下 

hashcat -a 0 xxx.hash dict.txt –force

注:如果dict文件存放的是md5密文,则需要用-m这个参数。

结果如下:

以上内容仅供学习使用!

SMB 协议详解之-process/user/session/tree/message/file ID原理和数据包分析技巧
村中少年的专栏
05-16 1824
介绍SMB协议中process id,session id,user id,tree id,file id, message id的作用,并介绍如何利用各种过滤实现快速理解SMB数据包的业务逻辑
Cyberchef配合Wireshark提取并解析SMB流量数据包中的文件
村中少年的专栏
11-20 300
通过cyberchef还原pcap数据包中SMB传输文件内容,提升wireshark分析数据包的效率
Kali中SMB爆破工具—acccheck
weixin_50464560的博客
04-29 2070
acccheck简介 acccheck是一个用于探测目标主机是否开放smb服务并且尝试连接目标默认IPC$、ADMIN$共享,并且通过字典文件尝试爆破smb服务的账号密码。这一个工具在Kali 2018中已经默认装了,下面是他的使用说明: 这个工具的参数较少,而且英语解释也非常简单,这里我就不再多做解释了,下面来进行一个简单的演示操作: 首先在目标靶机中使用管理员权限运行cmd,之后在该CMD中...
smb2(1)
2301_79947099的博客
03-17 218
如果 and smb2.flags.reponse==<大于0的自然数>:Tree Connect Response。右键Adapter for loopback traffic capture。其他buffercode(如0x03)可参考。或and tcp.dstport==445。左键Start Capture。
病毒木马类型
最新发布
weixin_57239983的博客
04-27 804
在护网(网络安全攻防演练)中,病毒木马类告警是重点监测的威胁类型,涉及恶意软件通过隐蔽手段入侵系统、窃取数据或控制主机。的闭环流程,可有效降低病毒木马对业务的影响,保障内网安全。病毒木马是护网中最高频的攻击类型之一,其检测与处置需结合。
[学习记录]内网应急实验——对SMB协议弱口令爆破事件进行日志分析
渗透为止的博客
04-14 1337
SMB协议弱口令爆破事件进行日志分析
hashcat使用命令简介
weixin_33851604的博客
02-20 1094
1.指定HASH类型 在HashCat--hash-type ?参数可以指定要破解的HASH类型,运行hashcat主程序加上--help参数,在* Generic hash types:中可以看到各种HASH类型的代号,如图所示:  不同版本的HashCat所支持的hash类型有所不同,如果没有指定--hash-type参数,那么程序默认为MD5类型。 2.指定破解模式 在Hash...
SMB共享协议解析
12-20
SMB共享协议解析
实验吧杂项-流量日志分析
Au
09-11 1407
A记录 数据包 题目描述如下: 下载下来是一个cap文件,用wireshark打开,提示文件截断 观察流量发现为无线流量,加上之前的报错,猜测为已加密的数据包 破解加密的无线数据包需要得到数据包的 ESSID 和 PASSWORD 使用Kali集成的aircrack-ng 爆破工具得到ESSID为 0719 加密方式为 WPA加密(脆弱) 加载字典...
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 6207
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
web安全day47:口令、字典、crunch、cupp、hydra、MSF-psexec_psh的使用
小梁的博客
01-17 2314
口令安全现状 弱口令 类似于123456,admin123等这样常见的弱口令。 默认口令 很多系统或者系统都存在默认口令。比如phpstudy的mysql数据库默认账密root/root,tomcat管理控制台默认账密tomcat/tomcat。 明文传输 比如HTTP/FTP/TELNET等服务,在网络中传输的数据流都是明文的,包括口令认证信息等。这样的服务,有被嗅探的风险。 暴力破*解 穷举可能的字符组合,尝试破*解。理论上一定能够破*解,根据口令字符集、口令位数和破*解设备
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 4850
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
利用netsh抓取连接文件服务器的NET NTLM Hash
我们为什么能在这里遇到?
10-26 731
参考:3gstudent 参考:添加链接描述
哪吒闹海~~古董级IPC入侵和不可估量的SMB协议爆破。。:=)
02-04 4206
古董级IPC,oyeah!最近才知道有这玩意,呵呵,本来打算玩玩,看了会,不太行得通哦~~~~ 以下是IPC入侵的一些基本概念,记录于此以备查询空密码:在xpsp3、win2k3以上不允许密码为空的用户进行IPC连接(这个用户的密码本来就是空的)空链接:在xpsp3、win2k3以上的空链接(用户名和密码都是空字符串)是没有任何权限的。 包括导出用户列表、获取主机时间等等, 在
CTF之——密码破解工具hashcat,零基础入门到精通,看完这篇就足够了~
VN520的博客
10-20 3139
hashcat号称世界上最快的密码破解,世界上第一个和唯一的基于GPU的规则引擎,免费多GPU(高达128个GPU),多哈希,多操作系统(Linux和Windows本地二进制文件),多平台(OpenCL和CUDA支持),多算法,资源利用率低,基于字典攻击,支持分布式破解等等,hashcat目前支持各类公开算法高达247类,市面上面公开的密码加密算法基本都支持!在渗透测试中我们往往会得到很多hash,需要去解密,而一些在线的网站无法解密出来所以我们可以使用hashcat在本地进行密码恢复。
解析SMB二进制格式数据的两种方法
村中少年的专栏
11-19 331
SMB协议的请求和响应数据会直接存成二进制文件,这个时候wireshark无法直接解析,本文介绍两种应对此种场景的方法
Hydra暴力破解smb协议(Windows用户名和密码)
村口王大爷的博客
05-26 9212
首先什么是hydra Hydra对应的英文意思是九头蛇,它是一款爆破神器,可以对多种服务的账号和密码进行爆破,包括Web登录、数据库、SSH、FTP等服务,支持Linux、Windows、Mac平台安装,其中Kali Linux中自带Hydra。 暴力破解攻击:暴力破解攻击是指攻击者通过系统的组合所有可能性(例如登录时用的账户名.密码),说白了就是穷举法,尝试所有的可能性破解用户的账户名.密码等敏感信息,攻击者会经常使用自动化脚本组合出正确的用户名和密码。 SMB:全称是Server Message Bl
网安实训(八)| Hashcat 进行密码暴力破解
热门推荐
朔方鸟的博客
02-18 1万+
本实验将使用Hashcat工具,进行密码爆破
Kali中SMB爆破工具————acccheck
Fly_鹏程万里
06-08 5671
acccheck简介acccheck是一个用于探测目标主机是否开放smb服务并且尝试连接目标默认IPC$、ADMIN$共享,并且通过字典文件尝试爆破smb服务的账号密码。这一个工具在Kali 2018中已经默认装了,下面是他的使用说明:这个工具的参数较少,而且英语解释也非常简单,这里我就不再多做解释了,下面来进行一个简单的演示操作:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值