红队笔记之Windows网络认证NTLM协议浅析

最新推荐文章于 2024-03-18 19:46:57 发布
最新推荐文章于 2024-03-18 19:46:57 发布
阅读量4.5k 收藏 4
点赞数
分类专栏: 红队笔记 文章标签: 安全 windows 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/corenote/article/details/120929806
版权

在这里插入图片描述

文章目录

NTLM 协议

NTLM协议是在Microsoft环境中使用的一种身份验证协议,它允许用户向服务器证明自己是谁(挑战(Chalenge)/响应(Response)认证机制),以便使用该服务器提供的服务。

在本文中,术语“服务器”是在客户端/服务器意义上使用的,“服务器”很可能是另一台PC。

NTLM协议的认证过程分为三步:

  • 协商:主要用于确认双方协议版本。
  • 质询:就是挑战(Chalenge)/响应(Response)认证机制起作用的范畴。
  • 验证:验证主要是在质询完成后,验证结果,是认证的最后一步。

在使用NTLM协议针对用户进行身份验证时,有两种可能的情况(下个小节进行详细说明):

  • 工作组环境:用户使用服务器的本地帐户的凭据,在这种情况下,服务器在其本地数据库中便含有用户的秘密,将能够对用户进行身份验证。
  • 域环境:用户在身份验证期间使用域帐户,在这种情况下,服务器必须要求域控制器验证用户提供的信息。

NTLM 协议在工作组环境下的应用

协商:
  • 这个过程是客户端向服务器发送(协商)消息,它主要包含客户端支持和服务器请求的功能列表。
质询Chalenge/Response与验证:

image-20211018134919900

  • 1、客户端向服务器端发送用户信息(用户名)请求
  • 2、服务器接受到请求,生成一个16位的随机数,被称之为“Challenge”, 使用登录用户名对应的NTLM Hash加密Challenge(16位随机字符), 生成Challenge1。同时,生成Challenge1后,将Challenge(16位随机 字符)发送给客户端。
  • 3、客户端接受到Challenge后,使用将要登录到账户对应的NTLM Hash加密Challenge生成Response,然后将Response发送至服务器端。
  • 4、验证是服务器端收到客户端的Response后,比对Chanllenge1与Response是否相等,若相等,则认证通过。

1、Chanllenge是Server产生的一个16字节的随机数,每次认证都不同

2、Response的表现形式是Net-NTLM Hash,它是由客户端提供的密码Hash加密Server返回的Chanllenge产生的结果。

NTLM 协议在域环境下的应用

当使用域帐户进行身份验证时,用户的NTLM Hash不再存储在服务器上,而是存储在域控制器上。所以整个认证的过程需要与域控制器进行交互。

协商:
  • 这个过程是客户端向服务器发送(协商)消息,它主要包含客户端支持和服务器请求的功能列表。
质询Chalenge/Response与验证:

image-20211018140831836

  • 1、客户端向服务器端发送用户信息(用户名)请求
  • 2、服务器接受到请求,生成一个16位的随机数,被称之为“Challenge”, 将Challenge(16位随机 字符)发送给客户端。
  • 3、客户端接受到Challenge后,使用将要登录到账户对应的NTLM Hash加密Challenge生成Response,然后将Response发送至服务器端。
  • 4、服务端向域控(DC)发送用户名、返回给客户端的Challenge、客户端发来的Response
  • 5、域控(DC)用本地数据库(NTDS.dit)里的请求验证的用户名对应的NTLM Hash加密Challenge,将结果与Response比对,然后将验证结果返回给服务端
  • 6、服务端再将结果消息返回给客户端

哈希传递PTH(Pass The Hash)

PTH原理

在NTLM 协议的验证过程中虽然没有明文传递密码,但是却使用了明文密码的等价物NTLM Hash,所以在不知道明文密码但是获取到NTLM Hash的情况即可完成身份的认证,这种认证方式因为传递的事hash值故成为哈希传递。

其实哈希传递就是使用用户名对应的NTLM Hash将服务器给出的 Chanllenge加密,生成一个Response,来完成认证。

PTH条件

Pass The Hash - 必要条件

  • 哈希传递需要被认证的主机能够访问到服务器
  • 哈希传递需要知道并传递被认证主机的用户名
  • 哈希传递需要知道并传递被认证用户的NTLM Hash

PTH利用

PTH利用工具较多,如CrackMapExec,Smbmap,Smbexec,Metasploit等,以下以CrackMapExec(如何安装不在此介绍)进行举例;

crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  -x 接对应指令

如图在kali中调用CrackMapExec执行whoami

image-20211018165706805

CrackMapExec其他常用指令

# Sessions枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash} --sessions
# 共享枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  --shares
# 磁盘枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  --disk
# 登录用户枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  --loggedon-users
# RID爆破枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  --rid-brute
# 域用户枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  --users
# 组枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash} --groups
# 本地组枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  --local-groups
# 域密码策略枚举
crackmapexec smb {换成ip或ip区间} -u {换成用户名} -H {换成对应NTLM Hash}  --pass-pol

PTH防御

1、windows安装kb2871997补丁

2、使用Kerberos认证代替NTLM认证

3、开启PAC(Privileged Attribute Certificate)特权属性证书保护功能

为了您和您家人的幸福,请在用户授权情况下开展渗透测试!

中华人民共和国刑法

第二百八十五条
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚

方寸明光
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
红队必备技能之隐蔽的技巧1
08-03
5.1 添加仓库 5.2 安装Certbot的Nginx软件包 5.3 验证配置是否正确 5.5 获取证书 5.6 自动续订
NTLM认证
路虽远,行将至。事虽难,做必达。
03-06 1万+
NTLM(NT LAN MANAGER)是一种网络认证协议,它是基于挑战(Challenge)/响应(Response)认证机制的一种认证模式。 NTLM使用在Windows NT和Windows 2000 Server(or later)工作组环境中(kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM协议认证过程分为三步: 1、协商:主要用于确认双方协议版本(NTLM v1/NTLM v2) 2、质询:就是挑战/响应认证机制起作用
内网安全之-NTLM协议详解
最新发布
weixin_45910629的博客
03-18 1252
不同的SSP,实现的身份验证机制是不一样的。因此当我们获取到了用户密码的 NTLM Hash 而没有解出明文时,我们可以利用该 NTLM Hash 进行哈希传递攻击,对内网其他机器进行 Hash 碰撞,碰撞到使用相同密码的机器。它是发生在 NTLM 认证的第三步,在 Response 消息中存在 Net-NTLM Hash,当攻击者获得了 Net-NTLM Hash 后,可以进行中间人攻击,重放 Net- NTLM Hash,这种攻击手法也就是 NTLM Relay(NTLM 中继)攻击。
NTLM认证原理及其过程
2ed
11-19 8158
windows认证协议主要有以下两种: 基于ntlm认证方式,主要用在早期的windows工作组环境中,认证的过程也相对比较简单、 另一种是基于Kerberos的认证方式,主要用在域环境中 NTLM认证 正在上传…重新上传取消 以下步骤刻画了 NTLM 非交互式认证过程, 第一步中提供了用户的 NTLM 认证信息,该步是用户交互式认证(Logon)过程的一部分。 (...
[内网] Windows三大认证
weixin_43586169的博客
07-28 2559
Kerberos认证与NTML认证都是属于网络认证,也可以将这个三种认证方式分为两大类,就是本地认证网络认证网络认证分为Kerberos认证和NTML认证。 以举例子, 白话形容,将Windows三大认证讲解的透彻,彻底理解。......
域渗透05-协议NTLM
GalaxySpaceX的博客
10-20 560
NTLM分析
NTLM 协议
热门推荐
oscar999的专栏
02-10 1万+
早期SMB协议网络上传输明文口令。后来出现 LAN Manager Challenge/Response 验证机制,简称LM,它是如此简单以至很容易就被破解。微软提出了WindowsNT挑战/响应验证机制,称之为NTLM。 现在已经有了更新的NTLMv2以及Kerberos验证体系。NTLMwindows早期安全协议,因向后兼容性而保留下来。NTLM是NT LAN Manager的缩写,即NT LAN管理器。 windows NT 系统大概是 微软1997年发表的,从Win2000开始默认协议为Ke
NTLM协议分析。
envy2008的专栏
03-02 339
主要参考文章为: http://blog.csdn.net/skywoodsky/archive/2007/02/07/1504325.aspx   NTLM校验分为三个步骤:   1. 客户端向服务器发请求。   2. 服务器返回给客户端密钥。   3. 客户端把用返回的密钥加密的信息再发给服务器,服务器自己也用密钥加密一次客户发送的信息,经过比对,即可判断是否让其通行。  ...
NTLMNTLM协议 与挑战-鉴权协议
dr0op's blog
09-09 565
Windows操作系统中通常使用两种方法对用户的明文密码进行加密处理。在域环境中,用户信息存储在ntds.dit中,加密后为“散列”值在Windows下通过SAMInside 提取到的密码hash时,分别有两条,分别是LM-Hash 和NT-Hash。
NTLM Protocol - 前言
hankhanti的专栏
10-20 784
NTLM: NT Lan Manager 是由 Microsoft 制定用在Windows 网路 中的通讯协议, 它提供为使用者提供了资料加密及安全性. 考虑到整个篇幅太大, 会影响到阅读的便利性及完整性, 将其分为四个章节来介绍.  1. NTLM 通讯的过程  2. DES 编码  3. MD4 编码  4. NTLM 总结 第一章节会将整个 NTLM 通讯的过程作
聊聊NTLM认证协议
06-13 185
近期发现多家安全媒体发布NTLM协议漏洞的文章。他们越说越术语,越说越官方,如此这般下去,他们写出来到底给谁看?大雅就是俗,让我来一篇俗文。啥是NTLM呢?微软windows系统的用户账号存储密码哈希值的方式。一般有LM,NTML,NTLMv2.(NT LAN Manager)windows系统的局域网管理,管理账号密码存储方式的协议。有这个认知就行了。 比如你设置密码为passwor...
红队笔记:技巧,窍门和技巧的串联
02-25
红队笔记 提示,技巧和技巧的串联。 当前主题:文件传输
goby-红队专用版-for-Windows
12-15
goby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队...
057-红队测试之Windows提权小结.pdf
09-20
057-红队测试之Windows提权小结.pdf
红队技巧:隐藏windows服务1
08-03
然后以管理员权限打开个 powershell 窗,运安全描述符定义语 (SDDL) 命令来隐藏我们创建的 mrxn 服务:运成功后,在我们的任务管理器就看不到创
[内网渗透]—NTLM网络认证NTLM-Relay攻击
Sentiment的博客
12-16 1172
Windows认证分为本地认证网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows网络认证
集权攻防——身份认证协议NTLM
ZAWX_NETSTARSEC的博客
06-08 910
如果用做菜来比喻,那么被加密的数据就是“原材料”,加密密钥就是“秘方”,原理就是“用不同的秘方做出来的菜味道不一样”。当秘方只有客户端和服务端知道,服务端确定用户身份时,只需要用该秘方和客户端做同一盘菜,对比两盘菜的味道,如果一样,那就是真实的客户端。但NTLM认证方式也不是绝对安全的,基于密码哈希的认证方式,让攻击者在不需要获取明文密码的情况下,也能直接传递密码哈希通过认证。由上可见,无论哪种情况下,NTLM认证过程中,都没有在网络上单独传递密码,这减少了密码泄露的可能,提高了系统安全性。
NTLM协议原理分析
yy
03-08 1449
NTLMv1与NTLM v2最显著的区别就是Challenge与加密算法不同,共同点就是加密的原料都是NTLM Hash,NTLM v1的Challenge有8位,NTLM v2的Challenge为16位;客户端收到质询消息后,会使用步骤1中缓存的服务器的NTLM hash对Challenge进行加密生成Response,接着再生成Net-NTLM hash=Challenge+Response+用户名等,再将Net-NTLM hash封装到身份验证消息中发往服务器。密码的哈希值格式如下。
NTLM网络认证协议分析及Net-NTLMhash的获取
yy
03-04 3471
Windows认证分为本地认证网络认证,传送门——>Windows认证原理,计算机开机时用户输入账户密码,这一行为要经过windows的本地认证。而比如当我们访问同一局域网的一台主机上的SMB共享时提供凭证通过验证才能成功进行访问,这就涉及到windows网络认证
goby红队版poc
08-20
Goby红队版POC是一个专门为红队渗透测试设计的工具。红队渗透测试是指模拟攻击者的技术和策略来评估组织的网络安全防御能力,并识别潜在的漏洞和弱点。Goby红队版POC通过发现、测试和利用网络系统和应用程序中的漏洞,帮助安全团队更好地保护组织的网络。 Goby红队版POC的主要功能包括漏洞扫描、漏洞检测和漏洞利用。它可以扫描网络目标,查找可能存在的漏洞,并生成详细的报告。与传统的漏洞扫描工具不同,Goby红队版POC还具备漏洞检测的能力,可以通过发送特定的网络数据包来检测目标系统的漏洞。同时,它还提供了漏洞利用的功能,可以自动化地利用漏洞攻击目标系统,以验证漏洞的存在性,并帮助安全团队修补这些漏洞。 Goby红队版POC还具备一个直观的用户界面,使安全团队能够方便地管理和执行渗透测试任务。它提供了多种方式来配置和管理扫描任务,包括选择扫描目标、设置扫描选项、编写自定义POC等。同时,它还支持生成漏洞报告,以便安全团队更好地识别和修补漏洞。 总之,Goby红队版POC是一款功能强大的红队渗透测试工具,能够帮助安全团队发现和利用网络系统和应用程序中的漏洞,提高组织的网络安全防御能力。它的直观用户界面和丰富的功能使得安全团队能够更加高效地管理和执行渗透测试任务,并根据测试结果采取相应的修补措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值