实现PROXY穿越(10):NTLMv2 response

最新推荐文章于 2024-05-21 19:14:54 发布
最新推荐文章于 2024-05-21 19:14:54 发布
阅读量5.8k 收藏 2
点赞数
分类专栏: 网络通信 文章标签: domain user 算法 session null server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flowingflying/article/details/4812260
版权

  最近忙,事比较多,活多了,还要降薪,唉。没什么时间看书,将以前的一些技术blog也移到这里。NTLM在去年年底和今年年初研究过一阵子,写了总结和例子程序。里面涉及很多算法,在网上查了很久。(下面是以前的博客)最近想实现一个通过PROXY穿越的网络编程,将相关的内容进行一下汇总。很多东西来自网络共产主义,也应该为共产主义有所回馈。介绍NTLMv2 response的实现。

  NTLMv1由两部分组成,LM response和NTLM response。NTLMv2也一样,分为LMv2 response和NTLMv2 response。这里使用了一个HMAC-MD5的计算,需要从RFC2104的附录中获得算法的C代码。需要注意两点:

  • 函数参数类型caddr_t实际是unsigned char *
  • bzero和bcopy在VC中需要使用memset和memcpy来代替,其中memcpy和bcopy的参数src和dst的位置是颠倒的,需要特别注意。我就将顺序搞反了,导致down掉。

  对于NTLM的详细说明可以参考 http://davenport.sourceforge.net/ntlm.html ,虽然是英文、洋文、鸡肠文,还是很值得读一读。NTLMv2的输入参数比较多:

  1. 密码: passwd,假设密码为:SecREt01
  2. 用户名:user_name,假设为user
  3. 域名:domain,假设为DOMAIN
  4. 从server中获得的challenge,固定长度为8,假设为0x0123456789abcdef
  5. 从server中获得的target_info,长度不固定,因此需要一个表示长度的target_info_len,假设为:0x02000c0044004f00 4d00410049004e00 01000c0053004500 5200560045005200 0400140064006f00 6d00610069006e00 2e0063006f006d00 0300220073006500 7200760065007200 2e0064006f006d00 610069006e002e00 63006f006d000000 0000
  6. 客户端自己生成的8位client_nonce,假设为0xff ff ff 00 11 22 33 44

  输出 如下:

  1. NTLMv2 response,长度不固定,需要给出len
  2. LMv2 response,长度为24

void ntlmv2_response(IN char * passwd, IN char * user_name,IN char * domain,
                     IN unsigned char * chanllenge, IN unsigned char * target_info,
                     IN int target_info_len,IN unsigned char * client_nonce,
                     OUT unsigned char * ntlm_response, OUT int * ntlm_response_len,
                     OUT unsigned char * lm_response,   OUT int * lm_response_len){
    unsigned char hash[16],digest[16];
    unsigned char * name;
    int len ;
    long cur_time = 0;
    __int64 t;
}

步骤一:v2-Hash = HMAC-MD5(NT-Hash, user name, domain name)
step1:获取NT-HASH,存放在digest中

nt_hash(passwd, 0,digest,NULL);
digest = 0xcd 06 ca 7c 7e 10 c9 9b 1d 33 b7 48 5a 2e d8 08

step2:获取v2-Hash

将user和domain合并然后全部改为大写换为unicode的测试,例如user=“user”,domain=“domain”,合并为USERDOMAIN为此我们提供了一个函数:
static void ntlmv2_unicode(IN char * user_name, IN char * domain,
                                       OUT char * user){
    char * temp;
    int len1 = strlen(user_name);
    int len2 = strlen(domain);

    temp = ( char *) malloc(len1 + len2 + 1);
    strcpy(temp,user_name);
    strcat(temp,domain);
    strtoupper(temp);
    unicode(temp,len1 + len2,user,NULL);
    free(temp);
}
得到的值使用step1计算出来的digest作为key进行HMAC_MD5计算,得到的值放置在hash中。程序如下:
    len = (strlen(user_name) + strlen(domain)) * 2;
    name = (unsigned char *) malloc(len);
    ntlmv2_unicode(user_name,domain,(char *)name);
    HMAC_MD5(name, len, digest,16,hash);
    free(name);
得到hash=0x04 b8 e0 ba 74 28 9c c5 40 82 6b ab 1d ee 63 ae


步骤二:计算NTLMv2 response:NTv2 = HMAC-MD5(v2-Hash, CS, CC*)
step1:我们需要根据系统时间、challenge、client_nonce、target_info获得一个blob的数据,用于后面的HMAC_MD5计算,及CC* = (X, time, CC, domain name)

blob的格式为:1-8字节为chanllenge;9-12字节为0x010100,17-24字节为根据当前时间获得一个数值;25-32字节为client_nonce,第37字节开始为target_info,在target_info后补充4个空字节。没有提及的字节填写0。
时间值的计算如下:当前时间(1970年1月1日开始计算的秒)+11644473600,成为1601年1月1日开始计算的秒,然后乘以10000000(1E+7)。获得的64比特的整数。要注意long的长度为32比特,不足以存放,我们使用__int64来解决这个问题。
cur_time = time(NULL);
t = (cur_time + 11644473600) * 10000000;
blob的获取如下:
len = 40 + target_info_len ;
name = (unsigned char *)malloc(len);
memset(name,0,len);
memcpy(name,chanllenge,8);
name[8] = 0x01;
name[9] = 0x01;
memcpy(name + 16, &t , 8);
memcpy(name + 24,client_nonce,8);
memcpy(name + 36,target_info,target_info_len);
以我们提供的例子,得到的blob长度为138,cur_time=1229419943,为:
 01 23 45 67 89 ab cd ef 01 01 00 00 00 00 00 00
 80 2d 11 33 61 5f c9 01 ff ff ff 00 11 22 33 44
 00 00 00 00 02 00 0c 00 44 00 4f 00 4d 00 41 00
 49 00 4e 00 01 00 0c 00 53 00 45 00 52 00 56 00
 45 00 52 00 04 00 14 00 64 00 6f 00 6d 00 61 00
 69 00 6e 00 2e 00 63 00 6f 00 6d 00 03 00 22 00
 73 00 65 00 72 00 76 00 65 00 72 00 2e 00 64 00
 6f 00 6d 00 61 00 69 00 6e 00 2e 00 63 00 6f 00
 6d 00 00 00 00 00 00 00 00 00

step2:计算ntlmv2 response

HMAC_MD5(name, len, hash,16,ntlm_response);
获得16字节的数据:0x3f 7e 49 5e 5c 39 c1 46 34 28 54 00 4f a4 5a 26,用其代替blob原来0-8字节的数据数据,就是我们最后得到的ntlmv2_response;
     memcpy(ntlm_response + 16,name + 8,len - 8);
    if(ntlm_response_len != NULL)
        * ntlm_response_len = len + 8;
    free(name);


步骤三:计算LMv2的response,LMv2 = HMAC-MD5(v2-Hash, CS, CC)
  计算LMv2 response比较简单,固定长度为24字节。
step1:将挑战值和client_nonce合并,使用步骤一的hash作为key进行HMAC_MD5计算
step2:将步骤一得到的16字节长度加上8字节的client_nonce就是LMv2的response。

    name = (unsigned char *) malloc(16);
    memcpy(name,chanllenge,8);
    memcpy(name + 8,client_nonce,8);
    HMAC_MD5(name, 16, hash,16,lm_response);
    memcpy(lm_response + 16,client_nonce,8);
    if(lm_response_len != NULL)
        * lm_response_len = 24;
    free(name);
根据我们的输入值,得到24字节的结果:0xd6 e6 15 2e a2 5d 03 b7 c6 ba 66 29 c2 d6 aa f0 ff ff ff 00 11 22 33 44

  ^_^,终于完成了NTLMv2应答值的计算,擦把汗,发现还有NTLM v2 session的方式,这个世界就是这样,有人在不断地加密,有人在不断地解密,将事情搞得越来越复杂。因为大家都很无聊,就搞出更多无聊的事情,也就有更多的人可以混饭吃。

 

相关链接:我的网络通信相关文章

NTLM的实现:

恺风
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
内网渗透(十九)之Windows协议认证和密码抓取-网络认证(基于挑战响应认证的NTLM协议)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-12 443
在平时的测试中,经常会碰到处于工作组的计算机,处于工作组的计算机之间是无法建立一个可信的信托机构的,只能是点对点进行信息的传输。举个例子就是,主机A想要访问主机B上的资源,就要向主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允许主机A进行相应的访问。
SMB relay解密使用python进行ntlmv2攻击
iteye_16188的博客
11-18 438
原文地址:[url]http://pen-testing.sans.org/blog/pen-testing/2013/04/25/smb-relay-demystified-and-ntlmv2-pwnage-with-python[/url] SMB Relay拥有稳定,可靠,有效的特点。即使组织都及时安装补丁,SMB Relay仍然可以帮助你访问到关键资产。大多数组织都有一些自动化的系统来...
实现PROXY穿越(11):NTLMv2 session response
愷风(Wei)的专栏
11-15 3927
  终于到来分析NTLMv2sessionresponse了。解决这个问题,我们就完成对PROXY认证中相关的NTLM算法的编写,可以进入PROXY认证交换过程,实现我们的网络编程。数一下,捣腾这个问题可以快半个月,主要在DES的算法上,在网上也看到有人很绝望地呼喊为什么不同工具算出来的结果不一样。而且一直没有下定决心自己写一个。原来想在网上找一个现成的代码,例如openssl,但是挖个萝卜带
通过 NTLMv2 获取凭据 / 触发NTLMv2请求的几种途径
最新发布
-
05-21 98
通过 NTLMv2 获取凭据 / 触发NTLMv2请求的几种途径
嵌入式系统NTLM/NTLMV2身份认证的C语言实现
tcysb的专栏
10-29 825
« linux 下穿透NTLM代理服务器上网(转载)SQLite for uClinux »嵌入式系统NTLM/NTLMV2身份认证的C语言实现前一段时间在嵌入式系统下做通过 NTLM 身份认证的代理服务器上网的程序,原本可以使用ntlmaps来穿透代理服务器,但是ntlmaps依赖于python,而我的程序要在嵌入式系统( ARM7TDMI + uClinux)中运行,尝试了
ntlm验证Java代码
04-17
里面有ntlm验证的demo 修改一下你url username passwrod 等内容应该就可以使用了 如果不可以 请抓包核查一下
proxy-polyfill:代理对象polyfill
05-07
这是Proxy对象(ES6的一部分)的一个polyfill。 有关Proxy本身的更多信息,请参见或。 与其他Object.observe不同,这不需要Object.observe ,。 polyfill仅支持有限数量的代理“陷阱”。 通过调用传递给Proxy的对象...
Cloudflare-Proxy-Server:Cloudflare代理服务器
05-01
2. **DDoS防护**:Cloudflare能够识别并阻止大规模的分布式拒绝服务攻击,保护您的网站免受流量洪峰的影响。 3. **SSL/TLS加密**:免费提供SSL证书,确保用户与网站之间的通信是安全的。 4. **性能优化**:通过...
koa2-http-proxy-middleware:koa2 http代理中间件
02-03
koa2-http-proxy-middleware koa2请求转发中间件 用法 初始化中间件 const Koa = require ( 'koa' ) const app = new Koa ( ) const PORT = 3000 const koaBodyparser = require ( 'koa-bodyparser' ) const ...
r2dbc-proxy:R2DBC代理框架
05-04
< artifactId>r2dbc-proxy ${version} 如果您想要即将发布的主要版本的最新快照,请使用我们的Maven快照存储库并声明适当的依赖版本。 < groupId>io.r2dbc < artifactId>r2dbc-proxy < version
proxypool:Golang实现的IP代理池
02-03
Golang实现的IP代理池 采集免费的代理资源为爬虫提供有效的IP代理 随着时间的推移观星人 版本更新 2019年12月18日v2.4感谢 添加代理网站ip3306,plp-ssl两个 更新数据库结构,添加创建时间和更新时间 更新ip.go当中...
ntlmv2-auth:用于 Java 的 NTLMv2 身份验证库和过滤器-开源
06-27
用于 Java 的 NTLMv2 SSO 过滤器和 API,基于来自“Liferay Portal”产品 (http://www.liferay.com) 的 JCIFS 扩展。
在apache做代理的服务器配置中集成NTLM安全认证的方法
weixin_33962621的博客
11-15 513
我的日记[url]http://dannyyuan.blog.51cto.com/212520/49893[/url]中提到apache服务器集成NTLM的全步骤,另外一篇日记[url]http://dannyyuan.blog.51cto.com/212520/38560[/url]提到过用apache做反向代理的设置方法,这里提出的是一个如何集成两者...
3.2 网络认证——挑战响应认证的NTLM协议
GloryGod的博客
08-24 555
在平时的测试中,经常会碰到处于工作组的计算机,处于工作组的计算机之间是无法建立一个可信的信托机构的,只能是点对点进行信息的传输。举个例子就是,主机A想要访问主机B上的资源,就要向主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允许主机A进行相应的访问。NTLM 协议是一种基于 挑战(Chalenge)/响应(Response) 认证机制,仅支持Windows的网络认证协议。
NTLM认证
qq_18811919的博客
05-17 869
NTLM (NT LAN Manager) Hash (1)NTLM Hash是支持Net NTLM认证协议以及本地认证过程中一个 重要参照物,长度为32位,由数组与字母组成。 (2)Windows本身不存储用户明文密码,它会将用户的明文密码经过 加密算法后存储在SAM数据库中。 SAM路径:C:\Windows\System32\config\SAM (3)当用户登录时,将用户输入的明文密码页加密成NTLM Hash, 与SAM数据库中的NTLM Hash进行比较,NTLM Hash的前身是LM Hash
[内网渗透]—NTLM网络认证及NTLM-Relay攻击
Sentiment的博客
12-16 1459
Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证。
关于windows密码加密算法的说明
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-13 5065
一、背景 本文的主要介绍Windows创建和存储密码哈希(Hash)的方式,以及这些哈希的破解方式。 我们使用的Windows的计算机使用两种方法对用户密码创建哈希,这两种方法在本质上有着不同的安全意义。这两种方法分别是LAN Manager (LM)以及NT LAN Manager第二版(NTLMv2)。哈希是一种加密算法,通过对加密对象字符串计算得出一个字符串,这种加密需要获取任意大小的字符串数据,并用算法对其进行加密,然后返回一个固定大小的字符串。 其中,早期的LAN Manager哈希是Window
没有人比我更了解NTLM协议
weixin_65550121的博客
12-10 1376
其实简单来说,就是客户端去访问SMB服务的时候,需要输入服务端的账号和密码,来进行校验身份,此时客户端会将服务端的密码存储在自己的本地中,然后当服务端发送过来的质询消息中包含质询值发送过来的时候,客户端会将之前保存服务端的那个密码的hash,对这个质询值进行加密,加密之后封装成认证消息发送给服务端,服务端紧接着用自己的密码也对质询值进行加密。没有定义的话,就是使用的默认值。②:服务端接收到客户端发送过来的Type 1消息后,会读取其中的内容,并从中选择出自己所能接受的服务内容,加密等级,安全服务等。
proxy_servers: http: http://proxy_user:proxy_pass@proxy_server:port https: https://proxy_user:proxy_pass@proxy_server:port
04-19
代理服务器(proxy server)是一种位于客户端和目标服务器之间的中间服务器。它充当了客户端和标服务器之间的中站,接收来自客户端的并将其转发给目标服务器,然后将目标服务器的响应返回给客户端。 在提供的示例中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值