> Si riesce ad ottenere qualcosa sniffando la rete?
su rete vedrai solo l'autenticazione NTLM/Kerberos, che è challenge-response e ragionevolmente sicura. Ci sono (c'erano?) dei possibili attacchi di protocol downgrade in cui potevi convincere alcuni client a fare autenticazione plaintext, ma chi lo sa se funzionano ancora. Potrebbero invece ancora funzionare attacchi di protocol downgrade in cui forzi NTLM versione 1, che è _quasi_ plaintext (pass-the-hash)
i protocolli di autenticazione sono tutti documentati su
http://msdn.microsoft.com/en-us/library/jj712081.aspx e in particolare:
NTLM:
http://msdn.microsoft.com/en-us/library/cc236621.aspx
autenticazione NTLM per HTTP (tipicamente per autenticarsi sul proxy aziendale):
http://msdn.microsoft.com/en-us/library/cc237488.aspx . ci sono estensioni simili per autenticarsi con le credenziali Windows su NNTP, SMTP e POP3
estensioni a Kerberos:
http://msdn.microsoft.com/en-us/library/cc233855.aspx
in generale: l'autenticazione Windows è molto sicura dal punto di vista del data in motion, ma ha delle debolezze importanti nel data at rest. in particolare gli hash delle password non hanno salt, che non è poi così importante perché sono dei password equivalent. non puoi ottenere facilmente gli hash perché stanno sul domain controller, e lo dovresti exploitare per leggere gli hash, però i client potrebbero avere una cache locale degli hash, per autenticare gli utenti anche quando il DC è irraggiungibile. per leggerli si usa cachedump o fgdump. questi hash _non_ sono gli hash NTLM, e quindi vanno craccati per tirare fuori la password. niente paura perché hanno un salt un po' stupido (lo username) e solo due round di MD4 (!)
