基于NTLM认证的中间人攻击(含实战)

最新推荐文章于 2024-08-22 16:39:41 发布
最新推荐文章于 2024-08-22 16:39:41 发布
阅读量2.4k 收藏 12
点赞数 2
文章标签: 网络安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Arc/article/details/119360880
版权
本文详细介绍了中间人攻击的概念,重点探讨了Windows系统的NTLM认证机制,包括本地认证和网络认证流程。讲解了域和工作组的区别,以及LLMNR、NetBIOS和WPAD域名解析协议的工作原理。同时,文章展示了如何利用Responder工具进行NTLM中继攻击,通过LLMNR和NetBIOS截取Net-NTLM Hash,以及通过WPAD劫持获取Hash。最后,通过SMB Relay攻击展示了域内横向渗透的可能性,并强调了NTLM认证的安全隐患和防范措施的重要性。
摘要由CSDN通过智能技术生成

文章目录

中间人攻击

中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。中间人攻击一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,SSL协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信 任的数字证书认证机构颁发,并且能执行双向身份认证。

中间人攻击过程

1.客户端发送请求到服务端,请求被中间人截获。
2.服务器向客户端发送公钥。
3.中间人截获公钥,保留在自己手上。然后自己生成一个【伪造的】公钥,发给客户端。
4.客户端收到伪造的公钥后,生成加密hash值发给服务器。
5.中间人获得加密hash值,用自己的私钥解密获得真秘钥。同时生成假的加密hash值,发给服务器。
6.服务器用私钥解密获得假密钥。然后加密数据传输给客户端。
image-20210802165409819

中间人攻击的核心理念在于截取hash和传递(假冒认证)

0x01 域和工作组

工作组和域宏观上都是一群计算机的集合,域中计算机的数量规模通常大于工作组内的计算机。

工作组内的机器名义上虽然是属于一个集合,但是内部各计算机还是各自管理各自的,没有一个相对成熟的信任机制,工作组内各个计算机的关系依旧是点对点。因此,在工作组环境下进行访问认证,仅涉及Client和Server。我们使用的个人计算机,默认便处于WORKGROUP工作组环境下

域是一个有安全边界的计算机集合,同一个域中的计算机通过共同的第三方信任机构建立信任关系,这个第三方信任机构角色由DC(域控制器)担当。通俗来讲,域中的机器都信任域控制器,那么只要域控制器信任我们,我们就可以在域内获得对其他服务器的访问权限。在这种认证体系中涉及三方:Client、Server、DC

VMware中域环境的搭建详见:

VMware中用虚拟机模拟搭建域(步骤、讲解详实,并以浅显的方式讲解了VMware中的三种网络模式、IP配置),Windows Server 2008 R2为域控服务器,Win7为域成员服务器_胖胖的飞象的博客-CSDN博客_虚拟机怎么创建域

0x02 NTLM认证(Windows)

本地认证

Windows不存储用户的明文密码,它会将用户的明文密码经过加密后存储在 SAM (Security Account Manager Database,安全账号管理数据库)文件中。

SAM文件的路径是 %SystemRoot%\system32\config\sam

在进行本地认证的过程中,当用户登录时,系统将用户输入的明文密码加密成 NTLM Hash,与 SAM数据库中的 NTLM Hash 进行比较,从而实现认证

winlogon.exe -> 接收用户输入 -> lsass.exe -> 认证

首先,用户注销、重启、锁屏后,操作系统会让 winlogon显示登录界面,也就是输入框,接收输入后,将密码交给 lsass进程,这个进程中会存一份明文密码,将明文密码加密成NTLM Hash,对比 SAM数据库中的Hash进行验证

NTLM Hash的生成
  • 明文密码:123456
  • 首先,密码经过十六进制ASCⅡ转为 -> 313233343536
  • 将十六进制结果转为 Unicode格式 ->310032003300340035003600
  • 以 Hex(16进制)数据作MD4加密 ->32ED87BDB5FDC5E9CBA88547376818D4

由于NTLM Hash的算法公开,故获得的Hash可暴力破解(MD4单向不可逆)

网络认证

NTLM凭据包括域名用户名用户密码的单向Hash。用户的密码不会在网络链路中传输,加密之后的Challenge值取代原本密码的作用进行对比验证,与传统传输密码的方式相比,具有较高的安全性

NTLM的认证方式分为交互式和交互式

  • 通过网络进行的交互式NTLM身份验证通常涉及两个系统:客户端系统,用户用于请求身份验证;域控制器,其中保留与用户密码有关的信息;交互式提供必要凭据,应用场景通常为用户要登录某台客户端
  • NTLM非交互式身份验证通常涉及NTLM三个系统:客户端服务器代表服务器进行身份验证计算的域控制器;无需交互式提供凭据,实际应用更多为已登录某客户端的用户去请求另一台服务器的资源 ,即用户只需要登录一次即可访问所有相互信任的应用系统及共享资源
工作组环境NTLM认证流程
1.用户访问客户机并提供域名,用户名,密码。客户端计算密码的Hash,并丢弃实际密码。
2.客户端将用户名发送到服务器。
3.服务器生成一个16字节的随机数Challenge并发送给客户端。
4.客户端使用用户密码的Hash对Challenge进行加密,然后将结果response(Net-NTLM hash)返回给服务器。
5.服务器使用用户名从SAM数据库中检索用户密码Hash,使用此密码Hash对Challenge进行加密。
6.服务器将其加密的Challenge(在步骤5中)与客户端计算的response(在步骤4中)进行比较。如果它们相同则身份验证成功。

image-20210802213128690

域环境NTLM认证
1.用户访问客户机并提供域名,用户名,密码。客户端计算密码的Hash,并丢弃实际密码。
2.客户端将用户名发送到服务器。
3.服务器生成一个16字节的随机数Challenge并发送给客户端。
4.客户端使用用户密码的Hash对Challenge进行加密,然后将结果response(Net-NTLM hash)返回给服务器。
5.服务器将三个信息发送到域控制器:用户名,发送给客户机的Challenge,返回给服务器的response。
6.域控制器使用用户名从SAM数据库中检索用户密码Hash。使用此密码Hash对Challenge进行加密。
7.域控制器将其加密的Challenge(在步骤6中)与客户端计算的response(在步骤4中)进行比较。如果它们相同则身份验证成功。
最低0.47元/天 解锁文章
Blue_Arc
关注
内网渗透(六十二)之 NTLM Realy 攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-02 977
NTLM Realy 攻击其实应该称为Net-NTLM Realy 攻击,它发生在NTLM认证的第三步,在Response 消息中存在Net-NTLM Hash,当攻击者获得了 Net-NTLM Hash 后,可以重放Net-NTLM Hash 进行中间人攻击NTLM Realy 流程如图所示,攻击者作为中间人在客户端和服务器之间转发NTLM认证数据包,从而模拟客户端身份访问服务端的资源。NTLM Relay 攻击分为两步:第一步是捕获 Net-NTLM Hash;
Kerberos域安全系列(29) NTLM中间人攻击
prettyX的博客
05-19 744
NTLM中间人攻击 NTLM Relay,中间人攻击或重放攻击是一个意思 2001年,最早由Dystic实现,SMBRelay 2004年,发展为HTTP->SMB,BlackHat,未开源 2007年,HTTP->SMB被集成到MetaSploit 2008年,HTTP->HTTP的NTLM攻击被实现(MS08-067) NTLM认证过程 NTLM中间人实验 1、工具 ntlmrelayx.py ,安装命令 pip install ldap3 dnspytho
实战】用 Python 实现中间人攻击
weixin_48923393的博客
02-13 4003
文 |豆豆来源:Python 技术「ID: pythonall」中间人攻击,顾名思义,就是客户端和服务端的通信被第三者拦截了,这样通信双方的通信内容就会被窃听。你可能会认为,没关系啊,窃...
事件查看器里有大量审核失败,遭受NTLM攻击的处理方案
最新发布
hironpan的专栏
08-22 446
NTLM
Universal 2nd Factor (U2F) 概述(6)-认证过程中的中间人攻击保护
WHO ARE YOU
11-27 634
如果一个中间人设法在用户设备与网站之间认证过程中以中介的方式进行攻击,U2F设备协议在大多数场景下是可以直接检测并防止的。当用户在某一个网站正常的注册了U2F设备,中间人设法在另外一个不同的网站进行身份认证时,用户的U2F设备是不可能有响应的,因为这个中间人使用的网站名称是不可能匹配到KeyHandle字段的。U2F设备也可以用于检测更复杂的其他中间人攻击的场景,如下:作为U2F调用签名“sign”
服务器出现大批量登录审核失败/NtLmSsp攻击
TeachnicalBrown的博客
05-02 1700
Windows server 2008 被ntlmssp安装攻击 解决
weixin_30300225的博客
04-30 2237
进行NTLM策略控制,彻底阻止LM响应 转载于:https://www.cnblogs.com/xishi/p/6789246.html
SSO单点登录技术深度解析与实战
从安全角度来看,单一登录点的集中式身份验证可能成为攻击者的目标,因此需要确保认证过程的安全性,防止中间人攻击和会话劫持。性能方面,SSO系统需要高效处理大量并发的认证请求,同时保持系统的响应速度。此外,...
wireshark分析实战
qq_33874645的博客
01-22 1467
数据包嗅探包括三个步骤 第一,收集,将网卡设置成混杂模式,收集所有的原始二进制数据 第二,转换,将捕获的二进制文件转换为可读形式 第三,分析,识别和验证所用协议       网络通信原理 1 协议    传输控制协议TCP 互联网协议 IP 地址解析协议 ARP 动态主机配置协议 DHCP 2 七层OSI参考模型     7 应用层(访问网络资源的实际程序,用户唯一看到
安全术语扫盲
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
大数据安全之kerberos+ldap身份验证(理论篇)
王某的博客
04-15 7841
大数据安全 1、限制只有合法用户身份的用户访问大数据平台集群 (1) 用户身份认证:外部用户或者第三方服务对集群的访问过程中的身份鉴别;用户在访问启用了安全认证的集群时,必须能通过安全认证。 (2)网络隔离:大数据平台集群支持通过网络平面隔离的方式保证网络安全(比如配置防火墙)。 2、定义什么样的用户和应用可以访问数据 权限控制:包括鉴权、授信管理,即确保用户对平台、接口、操作、资源、数...
服务器日志出现大量NTLM(NT LAN Manager)攻击
liyichuanZhengzhou的博客
08-30 2799
主题”字段指明本地系统上请求登录的帐户。“网络信息”字段指明远程登录请求来自哪里。“登录类型”字段指明发生的登录的种类。-“密钥长度”指明生成的会话密钥的长度。来源: Microsoft-Windows-Security-Auditing。-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。-“传递服务”指明哪些直接服务参与了此登录请求。“进程信息”字段表明系统上的哪个帐户和进程请求了登录。“身份验证信息”字段提供关于此特定登录请求的详细信息。日期: 2023/8/30 20:57:40。
针对ntlmssp攻击的本机安全攻防记(第一回)
热门推荐
xylz_yang的专栏
12-19 2万+
一、写在前面    这个问题说来也是恼火,切入正题之前先谈谈最近的一段狗血的经历,如果比较着急,就直接跳到第二部分吧!! 新去的一家政府支持的号称做互联网的单位(据后来观察几个部门都是凑吧的)。当初本屌是看着几个妹子不错([哈哈)才暂时决定留待观察的,其中一个就是HR妹子,初次见面给了一个回眸一笑,就在我幸福荡漾 ,甜蜜品尝笑容的时候一口凉气一闪而过,当时也没在意,就被这贱贱的笑容勾引第二天上
老生长谈之NTLM反向攻击
网络——菜市场
07-30 1282
老生长谈之NTLM反向攻击by cocoruder这个似乎火过一段时间,在读书时就看到有很多文章谈这样的攻击。考虑下面的模型A(192.168.0.1,被攻击者)访问B(192.168.0.2,攻击者)某个页面,这个页面的内容可能是1.在A一连接B时,B当然已获得A的IP(192.168.0.1),B立即请求对A的ipc$连接,A返回挑战值(Challenge)。2.接下来A请求B的ipc$连接,
NtLmSsp 登录爆破防御办法 附修改RDP远程桌面3389端口方法
荒野求生的博客
11-16 6573
NtLmSsp 登录爆破防御办法 附修改RDP远程桌面3389端口方法 https://www.bnxb.com/winserver/27745.html 今天在系统日志中看到一堆尝试登录远程桌面失败的提示,内容类似下方 - EventData SubjectUserSid S-1-0-0 SubjectUserName - SubjectDomainName - SubjectLogonId 0x0 TargetUserSid S-1-0-0 TargetUserN...
[内网渗透]—NTLM网络认证NTLM-Relay攻击
Sentiment的博客
12-16 1728
Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证
NtLmSsp 登录爆破防御办法踩的坑-网络安全:LAN管理器身份验证级别设置还原
studyingjay的博客
05-18 4316
windows系统日志看到很多相同NtlmSsp报错 于是在找了一些解决方法,按照下面这张图设置踩了一些坑 按照图上设置2008系统没问题,2019系统远程桌面就怎么设置都连不上了。 暂时正确的解决办法: 1、实际操作折腾一番返现上面那个LAN可以不用设置; 2.、下面选择“拒绝所有域账户”就行了,如果选择拒绝所以账户,远程桌面怎么样都报函数错误。有没其他方法设置暂时不知道,暂时选择域账户就可以了。 3、如果已经设置了那个“网络安全:LAN管理器身份验证级别”想还原的,可以修改注册表: 1. 运行 r
windows系统的NTLM认证过程的详细描述,以及这种认证方式能否抵抗反向攻击
07-11
Windows系统中的NTLM(NT LAN Manager)认证是一种用于验证用户身份的认证协议。下面是NTLM认证的详细描述: 1. 客户端向服务器发送连接请求。 2. 服务器将随机生成的挑战(Challenge)发送给客户端。 3. 客户端使用用户密码的散列值(Hash)对挑战进行加密,并将结果发送回服务器,该散列值被称为NTLMv2响应。 4. 服务器将存储在本地的用户密码散列值与客户端发送的NTLMv2响应进行比较。如果匹配,则验证成功,否则验证失败。 需要注意的是,NTLM认证过程中并没有明文传输密码,而是传输了密码的散列值。这样做可以在一定程度上保护密码的安全性。 然而,NTLM认证方式在抵抗反向攻击方面存在一些弱点。反向攻击是一种基于已知散列值进行破解的攻击方式,攻击者可以通过抓取网络流量或获取存储的密码散列值来进行破解。一旦攻击者获取到密码散列值,他们可以使用强大的计算资源和密码破解技术来尝试还原原始密码。 此外,NTLM认证也存在被中间人攻击(Man-in-the-Middle)利用的风险。中间人攻击是指攻击者在通信过程中截获、篡改或伪造数据,使得客户端和服务器之间的通信被劫持。攻击者可以获取到NTLM挑战和响应的数据,从而进一步进行破解或伪装成合法用户。 为了提高安全性,建议使用更安全的认证协议,如Kerberos,它提供了更强的安全性和防护措施。此外,还应注意采取其他安全措施,如使用复杂的密码、定期更改密码、启用多因素身份验证等,以增加系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值