JК
Искусство вторжения :: Митник Кевин
Страница: 207 из 415Одна из них « L A N Manager hash» или L A N M A N , является старой версией, сохранившейся еще со времен до появления WindowsNT. Перемешивание LANMAN производится на основе заглавных букв пароля пользователя, который потом делится на две части из семи символов. Эту разновидность перемешивания гораздо легче разгадать, чем следующую версию N T L M ( N T Lan Manager), которая распознает и строчные буквы.
В качестве иллюстрации я приведу здесь реальный пример такого перемешивания для системного администратора одной из компаний, название которой я говорить не буду:
Administrator:500:AA33FDF289D20A799FB3AF221F3220DC:0AB C818FE05A120233838B9131F36BB1:::
Часть между двумя двоеточиями, которая начинается с «АА33» и заканчивается «20DC» — это LANMAN-перемешивание. Часть от «0АВС» до «6ВВ1» — это NTLM-перемешивание. Оба имеют длину в 32 символа, оба представляют собой один и тот же зашифрованный пароль, но первый легче расшифровать.
Поскольку большинство пользователей выбирают пароль, который является именем или простым словом, атакующие начинают обычно с запуска l0phtCrack (или другой программы, которую они используют) для проведения «словарной атаки» — проверки всех слов из словаря, не выбраны ли они в качестве пароля. Если эта первая попытка не увенчивается успехом, то программа переходит к «атаке грубой силы», когда перебираются все возможные сочетания букв (например, A A A , А А В , А А С … A B A … ABB, ABC и т.д.), затем пробуются всевозможные сочетания заглавных и строчных букв, цифр и символов.
В качестве иллюстрации я приведу здесь реальный пример такого перемешивания для системного администратора одной из компаний, название которой я говорить не буду:
Administrator:500:AA33FDF289D20A799FB3AF221F3220DC:0AB C818FE05A120233838B9131F36BB1:::
Часть между двумя двоеточиями, которая начинается с «АА33» и заканчивается «20DC» — это LANMAN-перемешивание. Часть от «0АВС» до «6ВВ1» — это NTLM-перемешивание. Оба имеют длину в 32 символа, оба представляют собой один и тот же зашифрованный пароль, но первый легче расшифровать.
Поскольку большинство пользователей выбирают пароль, который является именем или простым словом, атакующие начинают обычно с запуска l0phtCrack (или другой программы, которую они используют) для проведения «словарной атаки» — проверки всех слов из словаря, не выбраны ли они в качестве пароля. Если эта первая попытка не увенчивается успехом, то программа переходит к «атаке грубой силы», когда перебираются все возможные сочетания букв (например, A A A , А А В , А А С … A B A … ABB, ABC и т.д.), затем пробуются всевозможные сочетания заглавных и строчных букв, цифр и символов.