NTLM roasting
para tener acceso a claves de usuario o hash y poder volcarlos vamos a poder necesitar un usuario con privilegios de administrador locales, pero y si no¿?
Entonces vemos que lo primero que ocurre es que el DC lle manda la petición inicial de negociación.
cuando accedemos a una maquina con usuario de dominio, la maquina le manda ek challenge al DC, cogemos el challenge en plano

y cogemos el challenge cifrado ntlm

y vemos que el usuario es administrador

cogemos también el NTLM proof string

y montamos la siguiente sintaxis para obtener

quedándose así

entonces este es el formato de hash que necesitamos que incluye el nombre de usuario el NTLM proo string, el challenge en palo y el challenge cifrado

nos lo llevamos a nuestra maquina y creamos un txt, lo crackeamos con john y obtenemos la contraseña.
entonces si hemos sido capaz de esnifar todo ese trafico podemos conseguir con cualquier usuario podemos obtener la contraseña sin tener que volcarla de la memoria, todo esto lo hemos hecho con un usuario de dominio, peor lo podemos hacer desde nuestra maquina Kali en LLMNR/NBTNS Poising.
