Hashcat nach dem NTLM-Dump
Moduswahl, Rules vs Straight und GPU-Hygiene wenn Offline-Cracks zählen.
NTDS gedumpt, hashcat -a 0 rockyou, acht Stunden später drei Passwörter und eine GPU die im Schrank gedrosselt hat.
Das hashcat Cheat Sheet listet Modi. Gewinnen tut wer weiß wann das Wörterbuch stoppt und der Potfile sauber bleibt. Nach NTDS oder SAM kommt der Reflex: rockyou straight und warten. Drei Treffer und ein heißer GPU im Schrank sind kein Report-Ergebnis. Du brauchst einen Plan für Rules, Masks und den Moment wo Cracken auf Spraying wechselt.
Falscher Hash-Typ ist der stille Killer. NTLM ist 1000, NetNTLMv2 ist 5600. Username-Prefix in der Hash-Datei bricht Matching ohne Fehlermeldung. Strippe sauber bevor du Stunden verbrennst.
Hash-Typ
NTLM Modus 1000. NetNTLMv2 5600.
hashcat -m 1000 ntlm-only.txt /usr/share/wordlists/rockyou.txt -o cracked.txt
Usernames weg wenn nicht nötig.
Straight, Rules, Stopp
hashcat -m 1000 ntlm.txt /usr/share/wordlists/rockyou.txt -r rules/best64.rule -o cracked-rules.txt
Masken wenn Policy Muster erzwingt.
Potfile
--potfile-path pro Kunde. Chain of custody notieren.
john für Konvertierung und CPU-only Hosts.
GPU und Potfile
Thermothrottling lügt bei H/s. hashcat --benchmark nach Driver-Update. -w auf geteilter Hardware begrenzen. Nicht hashcat auf derselben Box wie C2 ohne Lag zu erwarten.
--potfile-path pro Kunde. Chain of custody. john für Konvertierung und CPU-only Hosts wo GPU verboten ist.
Wann aufhören
Dico plus Rules plus OSINT (Mitarbeiternamen, Produktnamen) ohne Treffer: Spraying mit geknackten Service-Accounts schlägt oft eine weitere Brute-Nacht. Crack ist Trichter, nicht Geduldsbeweis.
Mask-Angriffe nur wenn die Passwortpolicy ein Muster erzwingt. Company2024? kommt aus dem Policy-PDF, nicht aus Hoffnung. Custom Rules aus früheren Leaks des gleichen Kunden schlagen best64 wenn du sie legal hast. Dokumentiere Potfile-Pfad pro Engagement. Chain of custody ist kein Paperwork-Spaß.