Hashcat tras extraer el NTLM
Modos, rules vs diccionario e higiene GPU cuando el crack offline importa.
Volcaste NTDS, lanzaste hashcat -a 0 con rockyou, y ocho horas después tres passwords y un GPU throttled en un armario.
La cheat sheet de hashcat lista modos. Lo que gana engagements es saber cuándo parar el diccionario y no corromper el potfile. Tras NTDS el reflejo es rockyou y esperar. Tres passwords y GPU caliente no es informe. Necesitas plan de rules, máscaras y cuándo pasar a spraying.
Hash mal tipado mata en silencio. NTLM 1000, NetNTLMv2 5600. Prefijo usuario: rompe matching sin error claro.
Tipo de hash correcto
NTLM es modo 1000. NetNTLMv2 es 5600.
hashcat -m 1000 ntlm-only.txt /usr/share/wordlists/rockyou.txt -o cracked.txt
Quita usernames salvo que el formato lo pida.
Diccionario, rules, stop
hashcat -m 1000 ntlm.txt /usr/share/wordlists/rockyou.txt -r rules/best64.rule -o cracked-rules.txt
Máscaras cuando la política impone patrón corporativo.
Potfile
--potfile-path por cliente. Documenta cadena de custodia.
john para conversiones y hosts sin GPU.
GPU y potfile
El throttling térmico miente en H/s. No corras hashcat en la misma caja que tu C2 sin esperar lag. --potfile-path por cliente. Cadena de custodia documentada.
Máscaras (-a 3) cuando la política impone patrón tipo Company2024?. Define la máscara desde la política, no desde deseo.
Cuándo parar
Si diccionario + rules + lista OSINT (nombres empleados, productos) no rinden, spraying con cuentas de servicio crackadas suele ganar a otra noche de brute. El crack es embudo, no moralidad.
Máscaras solo con patrón real de política. Rules custom de leaks previos del mismo cliente si son legales. Potfile por engagement documentado.