Captura de hashes en red

Identificación de uso NTLM

Visualización de eventos

Para identificar si NTLM está en uso, se puede realizar sin necesidad de tener privilegios de admin leyendo los eventos. En el campo de "Paquete de autenticación" se indicará si fue con Kerberos o NTLM:

wevtutil qe Security /q:"*[System[(EventID=4624)]]" /c:5 /f:text

Sniffing con wireshark

Filtrar por:

ntlmssp

Si no se captura ninguna en el momento de realizarlo, se puede forzar de forma manual con:

net use \\DC01\IPC$ /user:OILCORP\usuario password123

Captura de autenticación

Herramientas

• Inveigh. "Responder" para windows.

• Responder.

Inveigh

Responder

Salida esperada:

Cracking

Ejemplo de hashes.txt:

Salida esperada:

Referencias

• https://www.thehacker.recipes/ad/movement/ntlm/relay