了解 Windows 本地密码哈希 (NTLM)

信息安全 哈希 视窗 ntlm Windows 7的
2021-08-16 16:34:27

我最近从本地计算机中转储了一些哈希值,因为我试图了解 Windows 7 对其密码进行哈希处理的过程。

我发现我的本地密码哈希看起来(类似于)这个:Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::

现在我想知道的是不同部分的含义,所以:

我们有这个散列:如果我们将它分开,Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::我们最终会得到这个:::

[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :]
  • 我假设第一部分Jason是用户名,这对我来说是最合乎逻辑的。
  • 第三部分aad3c435b514a4eeaad3b935b51304fe是 ntlm 哈希是我最好的猜测。

如果我的假设是正确的,那么就离开c46b9e588fa0d112de6f59fd6d58eae3502

  • 我猜另一个哈希 ( c46b9e588fa0d112de6f59fd6d58eae3) 是派生密钥,它是从密码本身创建的。
  • 502将是用户的二进制数据。
  • 而这:只是一个分隔符或填充。

现在对于我的问题,我对哈希的每个部分代表什么的假设是否正确?如果没有,有人可以向我解释每个部分代表什么吗?

1个回答

使用 

[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :]

作为例子

  • Jason 是用户名

  • 502 是相对标识符(500 是管理员,这里的 502 是 kerberos 帐户。) (adsecurity.org/?p=483)

  • aad3c435b514a4eeaad3b935b51304f 是 LM 哈希

  • c46b9e588fa0d112de6f59fd6d58eae3 是 NT 哈希

可以在此处找到有关哈希之间差异的详细信息: LM / NT 哈希

其它你可能感兴趣的问题
上一篇执行从 XSL 文件返回数组的 PHP 函数 下一篇扬声器可以用作麦克风吗?