在网络安全渗透测试中,Responder哈希捕获工具是一款强大的LLMNR/NBT-NS/mDNS毒化器和NTLMv1/2中继工具。它能够捕获网络中传输的各种认证哈希,包括NTLMv1、NTLMv2和LMv2等类型。对于安全研究人员来说,理解这些哈希类型的区别对于有效进行网络攻击和防御至关重要。

【免费下载链接】Responder 【免费下载链接】Responder 项目地址: https://gitcode.com/gh_mirrors/re/Responder

🔍 NTLM哈希类型详解

NTLMv1哈希

NTLMv1是较早期的Windows认证协议,使用DES加密算法。它的安全性相对较低,容易被分析。在Responder中,NTLMv1哈希捕获功能通过servers/SMB.py等模块实现。

特点:

  • 使用56位DES加密
  • 相对容易分析
  • 在旧版Windows系统中常见

NTLMv2哈希

NTLMv2是NTLMv1的升级版本,增强了安全性。它使用HMAC-MD5算法,并引入了时间戳和挑战-响应机制。

特点:

  • 使用HMAC-MD5算法
  • 包含时间戳,防止重放攻击
  • 在现代Windows系统中默认使用

LMv2哈希

LMv2是LAN Manager v2的缩写,提供了比原始LM哈希更好的安全性。

🚀 Responder哈希捕获实战

内置服务器支持

Responder通过多个内置服务器来捕获不同类型的哈希:

  • SMB服务器servers/SMB.py支持NTLMv1和NTLMv2哈希捕获
  • HTTP/HTTPS服务器:支持NTLMv1、NTLMv2和基本认证
  • MSSQL服务器servers/MSSQL.py支持NTLMv1和LMv2哈希
  • LDAP服务器:支持NTLMSSP哈希和简单认证

配置与优化

Responder.conf中,可以配置各种哈希捕获选项:

[Responder Core]
; 支持NTLMv1、NTLMv2哈希,默认启用扩展安全NTLMSSP

; 强制LM哈希降级
; 适用于Windows XP/2003及更早版本

📊 哈希处理与分析

哈希提取工具

DumpHash.py提供了专门的哈希提取功能,可以分别提取NTLMv1和NTLMv2哈希到文件中。

MultiRelay功能

通过tools/MultiRelay/模块,Responder能够进行NTLMv1/2中继攻击,这在网络渗透测试中非常有效。

🛡️ 安全防护建议

了解Responder的哈希捕获技术后,企业可以采取以下防护措施:

  1. 禁用LLMNR和NBT-NS:在网络中禁用这些协议
  2. 启用SMB签名:防止中继攻击
  3. 监控网络流量:检测异常认证请求

💡 总结

Responder作为一款强大的哈希捕获工具,在网络安全评估中发挥着重要作用。通过理解NTLMv1、NTLMv2和LMv2的区别,安全团队可以更好地评估网络风险并采取相应的防护措施。

无论是进行红队演练还是蓝队防御,掌握这些哈希类型的特性和捕获方法都是网络安全专业人士的必备技能。

【免费下载链接】Responder 【免费下载链接】Responder 项目地址: https://gitcode.com/gh_mirrors/re/Responder

Logo

中国智能体开发者社区,聚焦智能体与大模型开发,提供前沿资讯、实用工具链、开源项目及行业案例。通过技术沙龙、开发者大赛等活动,促进经验交流与协作,助力开发者快速构建创新智能应用。

更多推荐