实战NTLM

最新推荐文章于 2024-03-18 19:46:57 发布
最新推荐文章于 2024-03-18 19:46:57 发布
阅读量4.2k 收藏 1
点赞数
分类专栏: NTLM验证 文章标签: byte 服务器 加密 http服务器 authentication struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skywoodsky/article/details/1504325
版权

实战NTLM

项目描述:2个域,A和B
A的域服务器连接外网,同时装有isa2004防火墙,开web代理,信任域B
需要域B的一台机器上穿透代理连接外网服务器(不是http服务器)
完成代穿透后,卡在isa上;使用443意外端口得话,isa返回502错,使用443端口则返回407错
结论:需要通过isa得域验证,且isa只允许443端口的ssl连接;isa支持windows集成身份验证(NTLM和Kerberos)

进入本文主题:NTLM验证
一、NTLM验证过程简介
1、客户端向代理服务器(支持NTLM)发送请求,内容包括本机的机器名和域名
2、代理服务器收到后,根据域名去对应域服务器获取客户机的域信息,并返回一个8byte的挑战码给客户端
3、客户端收到挑战码后,使用域帐户密码作为密钥进行加密,把结果密文发送给代理服务器
4、代理服务器也根据挑战码加密,和收到的密文进行比对,确定验证是否成功

二、具体过程
NTLM 要在客户端和服务器内进行3次交互,来决定是否通过验证
1、C-->S
客户端发给代理服务器的第一包,发起NTLM验证
CONNECT life-online.com.cn:443 HTTP/1.1/r/n
Host: life-online.com.cn:443/r/n
Proxy-Authorization: NTLM TlRMTVNTUAABAAAAA7IAAAcABwAoAAAACAAIACAAAABsaW54aWFuZ2ppbGxpb24=/r/n
/r/n
life-online.com.cn:443 是目标地址和端口;具体语法参考http协议
TlRMTVNTUAABAAAAA7IAAAcABwAoAAAACAAIACAAAABsaW54aWFuZ2ppbGxpb24=
是经过base64编码的信息,我们的主要讨论对象
结构如下:
struct NtlmType1
{
 unsigned char protocol[8]; // 协议头,一定是”NTLMSSP/0“
 int iType;   // 0x01,标识为与代理服务器的第一次交互 type1
        int iFlags;   // 0xb203,很多资料都用这个;不过似乎没一定意义;抓包里qq和ie的都不同
       
 short sDomLen;   // 帐户域名长度
 short sDupDomLen;  // 帐户域名长度
        int iDomOff;   // 帐户域名偏移量
       
 short sHostLen;   // 帐户主机名长度
 short sDupHostLen;  // 帐户主机名长度
 int iHostOff;   // 帐户主机名偏移量

 //ULONGLONG ullUnknown;  // 8byte不知用途的数据;ie和qq抓包都发现有,不包含也没问题可以忽略
 char* cpHost;   //帐户主机名,不包含'/0'
 char* cpDomain;   //帐户域名,不包含'/0'
}
2、S-->C
代理服务器收到Type1数据后,返回的响应
以下为截取出来对NTLM验证有意义的部分,具体如何解析请参考http协议
HTTP/1.1 407 Proxy Authentication Required ( * )/r/n
Proxy-Authenticate: NTLM TlRMTVNTUAACAAAAAAAAADgAAAABggACl7jkRBKFtVIAAAAAAAAAAAAAAAA4AAAABQLODgAAAA8=/r/n
Connection: Keep-Alive/r/n
Proxy-Connection: Keep-Alive/r/n
base64后的响应数据
TlRMTVNTUAACAAAAAAAAADgAAAABggACl7jkRBKFtVIAAAAAAAAAAAAAAAA4AAAABQLODgAAAA8=

结构如下:
typedef struct NTLMType2 //response pack from proxy server
{
 unsigned char baProtocol[8]; // 协议头,一定是”NTLMSSP/0“
 int iType;   // 0x02,标识为与代理服务器的第二次交互 type2

 //返回包里的域名信息,可以忽略,注意的是,域名是以unicode形式存放的
 short sDomLen;   // 帐户域名长度
 short sDupDomLen;  // 帐户域名长度
 int iDomOff;   // 帐户域名偏移量

 int iFlags;   // 用途未知

 unsigned char baNonce[8]; // 挑战码,代理服务器随机生成,需要客户端加密回送
 byte zero[8];   //8byte 0
 //后面还有些信息,有些是没用,有些是不明白干啥用的
}
3、C-->S
最重要的部分到了,根据挑战码,生成2个24byte的响应数据用于代理服务器进行验证
CONNECT life-online.com.cn:443 HTTP/1.1/r/n
Host: life-online.com.cn:443/r/n
Proxy-Authorization: NTLM TlRMTVNTUAADAAAAGAAYAGIAAAAYABgAegAAAA4ADgBAAAAABAAEAE4AAAAQABAAUgAAAAAAAACSAAAAAYIAAGoAaQBsAGwAaQBvAG4AbAB4AGwAaQBuAHgAaQBhAG4AZwCT+c2dmc2TfrM+rqO9RgVfQM6qkOFCdzrX1oPf8oSCzV6KWGJ59fbIVUeydXh5/+o=/r/n
base64编码串
TlRMTVNTUAADAAAAGAAYAGIAAAAYABgAegAAAA4ADgBAAAAABAAEAE4AAAAQABAAUgAAAAAAAACSAAAAAYIAAGoAaQBsAGwAaQBvAG4AbAB4AGwAaQBuAHgAaQBhAG4AZwCT+c2dmc2TfrM+rqO9RgVfQM6qkOFCdzrX1oPf8oSCzV6KWGJ59fbIVUeydXh5/+o=
结构如下:
typedef struct NTLMType3
{
 unsigned char baProtocol[8]; // 协议头,一定是”NTLMSSP/0“
 int iType;   // 0x03,标识为与代理服务器的第三次交互 type3
 
 short sLmRespLen;  // 加密的客户端散列长度,总是24字节(0x18)
 short sDupLmRespLen;  // 加密的客户端散列长度,总是24字节(0x18)
 int iLmRespOff;   // 加密的客户端散列偏移量
 
 short sNtRespLen;  // 加密的NT散列长度,总是24字节(0x18)
 short sDupNtRespLen;  // 加密的NT散列长度,总是24字节(0x18)
 int iNtRespOff;   // 加密的NT散列偏移量
 
 short sDomLen;   // 帐户域名长度
 short sDupDomLen;  // 帐户域名长度
 int iDomOff;   // 帐户域名偏移量
 
 short sUserLen;   // 帐户用户名长度
 short sDupUserLen;  // 帐户用户名长度
 int iUserOff;   // 帐户用户名偏移量
 
 short sHostLen;   // 帐户主机名长度
 short sDupHostLen;  // 帐户主机名长度
 int iHostOff;   // 帐户主机名偏移量
 
 //rc4 散列,目前未作为验证需要
 short sRc4Len;   // rc4编码长度
 short sDupRc4Len;  // rc4编码长度
 int iRc4Off;   // rc4编码偏移量
 
 int iFlags;   // 0x8201,很多资料都用这个;不过似乎没一定意义;抓包里qq和ie的都不同

 //ULONGLONG ullUnknown;  // 8byte不知用途的数据;ie和qq抓包都发现有,不包含也没问题,可以忽略
 
 byte    dom[];           // 帐户域名,unicode编码,不包含'/0'
 byte    user[];          // 帐户用户名,unicode编码,不包含'/0'
 byte    host[];          // 帐户主机名,unicode编码,不包含'/0'
 byte    lm_resp[];       // 加密的客户端散列
 byte    nt_resp[];       // 加密的NT散列
}
挑战码使用说明
1、客户端把域帐户密码填充为14byte,不足补0
2、把这14byte数据看作2个56bit的des密钥
3、用这2个密钥对一个8byte的数据(0x4B, 0x47, 0x53, 0x21, 0x40, 0x23, 0x24, 0x25 )分别加密,得到16byte数据,看作一个散列码
注:这8字节怎么得出来的我也不知道,似乎应该是随机生成出来的,以后有空试验下
4、把域帐户密码进行unicode和md4处理,也生成一个16byte的散列码
5、2个散列码都充0补足21byte作为3个des密钥,对挑战码进行加密,得到2个24byte的最终响应数据

4、S-->C
HTTP/1.1 200 Connection established
返回码200表示成功
其他返回码含义,参考http协议


参考内容:
http://www.innovation.ch/personal/ronald/ntlm.html#hashes
http://www.faqs.org/rfcs/rfc2616.html
http://samba.kn.vutbr.cz/samba/docs/man/Samba-Developers-Guide/pwencrypt.html
http://www.xfocus.net/releases/200305/a541.html
http://muffin.doit.org/docs/rfc/tunneling_ssl.html
http://www.openssl.org/ 
skywoodsky
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NTLM.rar_NTLM
09-20
LM/NTLM验证机制,详细介绍了该机制的完整过程。
nginx代理windowsAD域认证 ntlm认证处理
weixin_44310246的博客
04-12 1731
于是我换个搜索引擎再搜搜,发现了大佬写的ntlm模块,只需要下载下来,然后解压,按说明添加模板,在upstream中加一个 ntlm;把keepalive_requests 设置为3,keepalive_timeout 设置为1,只能减少几率,但是并发上来,还是得凉,这肯定不允许啊。因为建立的是长连接,会导致2个或者多个用户同时认证时,可能会返回别人的信息,比如张三和李四同时认证,然后张三的电脑返回了李四的info,于是我又打开了搜索引擎(天晴了,雨停了,我觉得我又行了),搜索NTLM认证原理。
Nginx 学习
howeres的博客
05-01 1878
Nginx安装 下载 wget http://nginx.org/download/nginx-1.16.1.tar.gz 解压: tar -zxvf nginx-1.16.1.tar.gz 进入解压目录: cd nginx-1.16.1 安装 ./configure --prefix=/opt/nginx --with-http_gzip_static_module --with-http_v2_module --with-openssl=/opt/openssl-1.1.1d --
内网安全之-NTLM协议详解
最新发布
weixin_45910629的博客
03-18 1440
不同的SSP,实现的身份验证机制是不一样的。因此当我们获取到了用户密码的 NTLM Hash 而没有解出明文时,我们可以利用该 NTLM Hash 进行哈希传递攻击,对内网其他机器进行 Hash 碰撞,碰撞到使用相同密码的机器。它是发生在 NTLM 认证的第三步,在 Response 消息中存在 Net-NTLM Hash,当攻击者获得了 Net-NTLM Hash 后,可以进行中间人攻击,重放 Net- NTLM Hash,这种攻击手法也就是 NTLM Relay(NTLM 中继)攻击。
nginx(二十七)长连接和短连接
wzj_110的博客
04-02 8857
proxy_set _header Connection "" -->,因为'请求头的值'为空,'不会传递'该请求头给'后端'服务器 一 长连接和短连接概念 1) 'HTTP'的长连接和短连接本质上是'TCP'长连接和短连接 2) 在'HTTP/1.0'中默认使用'短'连接.也就是说,客户端和服务器'每进行一次HTTP操作',就'建立一次tcp连接',任务结束就中断连接 长连接和短连接的形象比喻 二 nginx如何做到长连接 重点:'服务器'和'客户端'都要进行设...
【con】vue项目里basic auth验证(前端bug日记4)
Lexie_con的博客
07-26 1729
以为需要ntlm,结果很快解决了。
ntlm身份验证_使用隐藏的ntlm身份验证进行内部信息公开
weixin_26636643的博客
08-24 1373
ntlm身份验证During an offensive security engagement it may not be a major vulnerability that leads to your end-goal, but a combination of lower severity findings compounded to make a larger impact. This p...
c++实现LM和NTLM哈希
06-24
在vs2008下实现NTLM和LM哈希加密,包含MD4加密和DES加密函数 在vs2008下实现NTLM和LM哈希加密,包含MD4加密和DES加密函数
python-ntlm 1.1.0
08-18
Python library that provides NTLM support, including an authentication handler for urllib2. Works with pass-the-hash in additon to password authentication.
ntlm验证Java代码
04-17
里面有ntlm验证的demo 修改一下你url username passwrod 等内容应该就可以使用了 如果不可以 请抓包核查一下
AD域单点登陆NTLM
04-12
java 基于NTLM协议集成AD账号域登录 内含JAR包,DEMO包以及说明文档
NTLM认证基本原理及编程简介
10-28
NTLM认证基本原理及编程简介 对需要的人很有用
Nginx从入门到进阶
大帅的博客
08-06 515
1. Nginx简介 Nginx(发音同 engine x)是一款基于异步框架的轻量级/高性能的Web 服务器/反向代理服务器/缓存服务器/电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev(伊戈尔·赛索耶夫)所开发,最初供俄国大型网站Rambler.ru及搜寻引擎Rambler使用。 Nginx特点 优点: 高并发量:基于 epoll/kqueue 模型开发,支持高并发量,官方说...
【内网学习】4.LMHash和NTLM Hash
gclome的博客
03-06 5987
目录 1 LM Hash及其生成过程 2 NTLM Hash及其生成过程 3 生成lm hash和ntlm hash的网站 参考文章 windows 操作系统通常使用两种方法对用户的明文密码进行加密处理。在域环境中,用户信息存储在ntds.dit中,加密后为散列值。 在windows下通过SAMInside提取到的密码Hash时,可以看到有两条,分别是LM-Hash和NT-Hash,这是对同一个密码的两种不同的加密方式。在windows操作系统中,hash的结构通常如下: user...
了解一下NTLM
rital的专栏
06-09 1212
NTLM 在客户机与服务器之间提供身份认证的安全包。NTLM   身份验证协议 是 质询/应答身份验证协议,是Windows   NT   4.0   及其早期版本中用于网络身份验证的默认协议。Windows   2000   中仍然支持该协议,但它不再是默认的。    NTLM身份验证过程:ntlm 是用于 Windows NT 和 Windows 2000 Server 工作组
Windows下LM-Hash与NTLM-Hash生成原理
热门推荐
endeav_or的博客
12-06 2万+
LM-Hash与NTLM-Hash在windows下通过SAMInside提取到的密码Hash时,可以看到有两条,分别是LM-Hash和NT-Hash,这是对同一个密码的两种不同的加密方式,下面对其生成原理做个实验。Windows下LM-Hash生成原理这里用实例展示LM-Hash的具体产生过程。我使用的明文口令是“123993”,可以看到在使用SAMInside提取出来的LM-Password是
[转]Web后台模拟前端post(带NTLM验证)
weixin_34319374的博客
07-06 178
本文转自:http://www.cnblogs.com/pzstudyhard/p/4805885.html using System.Data; using System.Net; using System.IO; using System.Net.Http; using System.Web; using System.Collections.Specialized; usi...
使用Python发送http请求访问window ntlm站点
干了10几年测试的老油条的博客
11-26 2499
背景描述 由于需要写自动化代码发送http请求访问windows domain的站点,然而登陆的方式与Form表单不一样,所以需要借助第三方的类库来协助,由于使用了NTLM所以要下载python NTLM相关类库进行安装。只要实现window 域账户身份认证,采用python编程语言,就可以完成对该站进行开发自动化脚本或者是性能测试脚本。 安装软件环境 Python2.7 https://w...
基于NTLM的Proxy认证
David.turing's Security Blog
04-02 1021
以Matrix的Blog为例,截取其中的认证过程进行分析(注意,本文中使用的cookie值已经被处理过,呵呵,别想干坏事握) 测试环境:域:mydomain.com域主机:davidturing.mydomain.com域用户:davidturing@mydomain.com代理服务器:proxyserver.mydomain.com 1) 登陆Windows域(mydomain.com),用户名...
ntlm relay 原理
09-17
NTLM Relay 是一种攻击技术,利用了 NTLM(Windows 网络身份验证协议)的漏洞。该攻击允许黑客在网络中伪装成受害者与服务器进行通信,从而获取敏感信息或执行一些恶意操作。 NTLM Relay 攻击的原理如下: 1. 受害...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值