Расшифровка: DCE/RPC с NTLMSSP

Question

Расшифровка: DCE/RPC с NTLMSSP

У меня есть pcap, содержащий трафик DCE/RPC с аутентификацией через NTLMSSP в начале. Возможно ли с помощью Wireshark (или другого инструмента) расшифровать связь DCE/RPC, если у меня есть NTLMSSP пароль NT? В настройках протокола Wireshark я ввел пароль NT на вкладке NTLMSSP, но все еще в пакетах DCE/RPC вместо расшифрованного содержимого я вижу "Зашифрованные данные заглушки"...

3

encryption wireshark rpc dce

Источник

user8751989 10 окт '17 в 11:40

1 ответ

Другие вопросы по тегам encryption wireshark rpc dce

cnotin 29 июл '22 в 20:11 2022-07-29 20:11 · Answer 1 · 2022-07-29 20:11

Да, это возможно с помощью параметра «Пароль NT», который вы заметили в настройках протокола NTLMSSP.

Просто убедитесь, что вы используете открытый текстовый пароль (а не его хэш NTLM). Кроме того, согласно исходному коду поддерживаются только пароли ASCII (функцияstr_to_unicode).

Это еще не было задокументировано, поэтому я создал страницу NTLMSSP на вики Wireshark и, как я описал в этом