iT邦幫忙

0

iPAS中級資訊安全工程師能力鑑定試題_108 防護實務#38

  • 分享至 

  • xImage

最近在準備iPAS中級資訊安全工程師能力考試, 有些題目上網查了半天, 但還是不懂得為什麼錯了, 想請了解的大神幫忙解答.

(題組題 5)
某日資安人員接獲通報,系統維運人員在某台 windows 主機上找到一個文字檔(acc.txt)內容如下,因為發現文字檔案”Name”欄位的資料與電腦帳號是雷同的,資安人員發現此文字檔中,含有該台主機之administrator 權限的帳號.
https://ithelp.ithome.com.tw/upload/images/20220802/20144762lDVf4kkKIJ.png
38. (題組題 5-2,單選題) 上述情境中,若該電腦主機作業系統為 Win7,同一時間,資安人員在該台主機 acc.txt 同一目錄,發現另一個檔案.
https://ithelp.ithome.com.tw/upload/images/20220802/201447621EbQatjoW6.png
下列何者正確?
(A)由這個檔案可以得知 Jason 為這台電腦具 administrator 權限的帳戶
(B)這看起來像是這台電腦的用戶與密碼 hash,其中密碼 hash 為kerberos 格式
(C)這看起來像是這台電腦的用戶與密碼 hash,其中密碼 hash 為 NTLM格式
(D)這看起來像是這台電腦的用戶與密碼 hash,其中密碼 hash 為SHA512 格式

答案是(C)

我知道(A)錯的原因是:Xuser才是這台電腦具 administrator 權限的帳戶.
(D) SHA512為64bytes, 題目中的hash結果看來是16bytes, 所以錯誤.
但我查不到NTLM跟Kerberos格式的hash長度, 請問有人知道哪裡可以找得到這資料嗎?

謝謝!

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

2
Ray
iT邦大神 1 級 ‧ 2022-08-02 10:37:02
最佳解答

因為 kerberos 是用 TGT Token 來辨識身分, 而:
TGT = NTLM Hash + Session Key

Session Key 是動態產生的, 不會存在檔案裡;
這樣剩下會被存檔的只有 NTLM Hash 了.....

所以, 如果用 kerberos 驗證的話, 它存在電腦裡面的 Hash 也是 NTLM 用的, 兩者相同...

我認為, 題目裡面指的: 其中密碼 hash 為kerberos 格式, 其實是講 TGT 格式...

Joy Lim iT邦新手 5 級 ‧ 2022-08-04 14:12:34 檢舉

感謝Ray神的解答!

0
not
iT邦新手 4 級 ‧ 2022-08-03 08:33:06

同前面雷神說的,只有 ntlm 才會儲存 hash 的字串,如果想驗證的話,可以利用這個線上工具產生 hash , 例如題目的 abc123$
https://i.imgur.com/egJXkur.png

ntlm-hash線上工具

Joy Lim iT邦新手 5 級 ‧ 2022-08-04 14:15:14 檢舉

謝謝您幫助釐清/images/emoticon/emoticon12.gif

我要發表回答

立即登入回答