最近在準備iPAS中級資訊安全工程師能力考試, 有些題目上網查了半天, 但還是不懂得為什麼錯了, 想請了解的大神幫忙解答.
(題組題 5)
某日資安人員接獲通報,系統維運人員在某台 windows 主機上找到一個文字檔(acc.txt)內容如下,因為發現文字檔案”Name”欄位的資料與電腦帳號是雷同的,資安人員發現此文字檔中,含有該台主機之administrator 權限的帳號.
38. (題組題 5-2,單選題) 上述情境中,若該電腦主機作業系統為 Win7,同一時間,資安人員在該台主機 acc.txt 同一目錄,發現另一個檔案.
下列何者正確?
(A)由這個檔案可以得知 Jason 為這台電腦具 administrator 權限的帳戶
(B)這看起來像是這台電腦的用戶與密碼 hash,其中密碼 hash 為kerberos 格式
(C)這看起來像是這台電腦的用戶與密碼 hash,其中密碼 hash 為 NTLM格式
(D)這看起來像是這台電腦的用戶與密碼 hash,其中密碼 hash 為SHA512 格式
答案是(C)
我知道(A)錯的原因是:Xuser才是這台電腦具 administrator 權限的帳戶.
(D) SHA512為64bytes, 題目中的hash結果看來是16bytes, 所以錯誤.
但我查不到NTLM跟Kerberos格式的hash長度, 請問有人知道哪裡可以找得到這資料嗎?
謝謝!
因為 kerberos 是用 TGT Token 來辨識身分, 而:
TGT = NTLM Hash + Session Key
Session Key 是動態產生的, 不會存在檔案裡;
這樣剩下會被存檔的只有 NTLM Hash 了.....
所以, 如果用 kerberos 驗證的話, 它存在電腦裡面的 Hash 也是 NTLM 用的, 兩者相同...
我認為, 題目裡面指的: 其中密碼 hash 為kerberos 格式, 其實是講 TGT 格式...
同前面雷神說的,只有 ntlm 才會儲存 hash 的字串,如果想驗證的話,可以利用這個線上工具產生 hash , 例如題目的 abc123$