CyberCheatsheets

Hashcat après extraction du NTLM

Modes, rules vs dictionnaire, et hygiène GPU quand le crack offline compte vraiment.

Publié le 2 min de lecture
hashcatcredentialscracking

Vous avez dumpé NTDS, lancé hashcat en -a 0 avec rockyou, et huit heures plus tard trois mots de passe plus un GPU qui s'est throttlé dans un placard.

La cheat sheet hashcat liste modes et hash types. Le gain opérationnel, c'est savoir quand le dictionnaire brut s'arrête et comment ne pas corrompre le potfile.

Bien typer le hash

NTLM c'est le mode 1000. NetNTLMv2 c'est 5600. On colle souvent la mauvaise ligne depuis Responder.

hashcat -m 1000 ntlm-only.txt /usr/share/wordlists/rockyou.txt -o cracked.txt

Retirez les usernames sauf si le format l'exige. Un username: en tête casse le matching sans bruit.

Dico, puis rules, puis stop

Rockyou straight est la baseline. Les rules comptent pour les mots de passe corporate :

hashcat -m 1000 ntlm.txt /usr/share/wordlists/rockyou.txt -r rules/best64.rule -o cracked-rules.txt

Les masks (-a 3) quand la politique impose un motif type Company2024?.

Potfile

hashcat.potfile mémorise les cracks. Mélanger des clients dans le même potfile est une erreur de chaîne de custody. --potfile-path par job ou --remove après correction de format.

Réalité GPU

Le throttling thermique fausse les H/s. hashcat --benchmark après update driver. Limitez -w sur hardware partagé.

john reste utile pour conversions rapides et machines sans GPU.

GPU et thermique

Le throttling thermique fausse les H/s. Laptop "cracking" en vol c'est du marketing. Sur hardware partagé, limitez -w. Ne lancez pas hashcat sur la même machine que votre C2 sans attendre de la latence.

hashcat --benchmark une fois par machine après mise à jour driver. Documentez le débit réel, pas la promesse du constructeur GPU.

Quand arrêter

Si dico + rules + liste OSINT ciblée (noms employés, noms produits, saisons locales) ne donnent rien, le password spraying avec les comptes de service crackés bat souvent une nuit de brute force de plus. Le crack est un entonnoir, pas une preuve de patience morale.

Les masks suivent la politique mot de passe réelle, pas l'espoir. Rules custom depuis d'anciens leaks client si c'est légal. Potfile séparé par engagement pour la chaîne de custody.