NTLM 哈希认证全解析

于 2024-10-11 15:28:04 发布
阅读量554 收藏 20
点赞数 20
分类专栏: 网络安全 文章标签: 哈希算法 算法 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/142855303
版权

目录

NTLM 哈希认证全解析

一、NTLM 哈希概述

(一)NTLM 哈希生成原理

二、NTLM 哈希相关特性

(一)密码长度与哈希算法选择

(二)哈希存储位置

三、Windows 认证机制

(一)认证类型

在网络安全领域,NTLM 哈希认证是一个重要的知识点。今天我们来深入探讨一下 NTLM 哈希认证的相关内容。

一、NTLM 哈希概述

NTLM 哈希是被 Windows 系统认可的一种算法,用于替代古老的 LM 哈希。在 Windows win7、windows server2008 及以后的系统中,NTLM 哈希算法默认启动,而之前的版本使用的是 LM 哈希。

(一)NTLM 哈希生成原理

  1. 用户输入的密码首先会转换为 16 进制格式。例如,密码 “123456” 会转为对应的 16 进制。
  2. 接着将 16 进制格式的密码进行编码(文中提到优酷编码,可能有误)。
  3. 然后使用 MD4 摘要算法对编码后的数据进行哈希计算。

二、NTLM 哈希相关特性

(一)密码长度与哈希算法选择

  • LM 哈希密码最大长度只有 14 位。当密码长度超过 14 位时,在 Windows 2000、XP 和 2003 等系统中,会采用 NTLM 哈希进行加密。在当前的一些系统中,当密码超过 14 位时,使用 NTLM 哈希加密码。

(二)哈希存储位置

  1. 在个人主机上,存储在 SAM 文件中,保存的是本地用户的相关信息。
  2. 在域环境下,存储在 NTDS.DIT 文件(即活动目录)中,对应的是域用户信息。

三、Windows 认证机制

(一)认证类型

  1. 本地认证
    • 用户直接在操作系统计算机中登录账户。系统收到用户输入的密码后,将其计算为 NTLM 哈希,再与 SAM 数据库进行对比。在本地认证中,用来处理用户输入密码的进程是 LSASS.EXE,在某些版本之前,密码会在这个进程中明文保存,以便将密码计算成 NTLM 哈希与 SAM 数据库进行对比,但在 windows 2008、2012R2 等版本之后,LSASS.EXE 文件不再记录明文密码。
  2. 网络认证
    • 在工作组环境中,远程登录到另外一台电脑所采用的认证机制也叫挑战相应机制。具体过程如下:
      • 第一步是协商双方确定使用的协议版本,因为 NTLM 哈希存在 V1 和 V2 两个版本,不同版本加密方式不同,同时还有 C10vi3 种协议,不同协议使用不同格式的挑战码和加密算法。
      • 第二步是质询挑战。客户端向服务端发送用户名请求,服务器收到请求后,若本地用户列表存在该用户名,则生成一个 16 位的随机数(挑战码),用登录对应的 NTLM 哈希加密挑战码生成挑战码一,保存在内存中同时将挑战码明文发送给客户端。
      • 第三步是验证。客户端使用账号密码转化的 NTLM 哈希加密挑战码生成响应并发送至服务器端,服务器收到响应后与之前保存在内存中的挑战码进行比较,相同则认证通过。
  3. 预认证
    • 登录到域环境中的某个设备或某台计算机。

NTLM 哈希认证在 Windows 系统的安全体系中有着重要地位,无论是本地用户管理还是网络环境中的设备连接认证等方面都起着关键作用。了解其原理和机制有助于我们更好地理解 Windows 系统的安全性以及应对相关的网络安全问题。

阿贾克斯的黎明
关注
专栏目录
exchange邮件采用ntlm认证时的用户标识信息解析
liaomingwu的专栏
10-24 67
在exchange对邮箱用户进行身份认证时,经常采用的身份认证协议是ntlm,在邮件代理中,我们需要知道当前发送请求的用户标识信息是什么,以便决定是否具有相关的授权信息,此时就需要解析ntlm协议的数据包,从中获取执行认证的用户标识信息。
基于NTLM认证的中间人攻击(含实战)
Blue_Arc的博客
08-04 2518
文章目录中间人攻击0x01 域和工作组0x02 NTLM认证(Windows)本地认证NTLM Hash的生成网络认证工作组环境NTLM认证流程域环境NTLM认证0x03 域名解析协议LLMNR解析过程NetBIOSWindows系统域名解析顺序0x04 WPAD工作原理WPAD劫持0x05 NTLM中继0x06 Responder介绍攻击演示利用LLMNR和NetBIOS截取Net-NTLM Hash利用WPAD劫持获得Net-NTLM HashSMB Relay总结**Reference** 中间人攻击
密码学系列——NTHASH以及MD4算法
gzy0506的博客
02-25 8887
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 密码学系列——NTHASH以及MD4算法前言Windows下NTLM-Hash生成原理标准MD4 算法代码片段FPGA实现 前言 主要是为了快速回忆之前工作的一些记录,不至于完忘记。 Windows下NTLM-Hash生成原理 IBM设计的LM Hash算法存在几个弱点,微软在保持向后兼容性的同时提出了自己的挑战响应机制,NTLM Hash便应运而生。 这里同样以上节的明文密码“123994”作为研究对象。首先在UltraEdit中输入
“解密“Windows NTLM Hash
Yale的博客
03-22 1万+
hashcat 3.30开始,在虚拟机中运行hashcat经常会报错,提示GPU错误。这是由于从该版本开始,hashcat对于Intel CPU会自动检测Intel OpenCL运行时,即是否支持GPU破解。如果不支持,就会停止运行。为了便于实验,我们使用2.0版本的hashcat 安装: wget https://hashcat.net/files/hashcat-2.00.7z 7z e h...
NT哈希破解
04-25
初学数据库和密码破解的好工具书,是一本很好的入门级书本,可以看看
windows密码破解(哈希破解技术)
weixin_45511599的博客
10-13 6108
一.windows密码与哈希 1.我们用于登录的windows密码,在windows系统中会进行加密。一般密码加密文件储存在c盘的windows\system32\config目录下,文件名是SAM文件。在system目录下有两个非常重要的文件 A.SAM文件:储存着windows密码,使用LM或者NT算法加密成明文哈希,再由syskey加密成乱码的二次密文 B.SYSTEM文件:密钥文件,有一个程序syskey,对上面的SAM文件进行第一次的解密,解密成明文的哈希值 我们使用反编译技术就可以获得密码 二.
ntlm hash加密方式学习
qq_42077227的博客
04-21 2105
ntlm hash加密原理学习
内网安:PTH、PTK与PTT哈希票据攻击策略解析
1. **密码哈希传递** (PTH): 用户的明文密码首先经过NTLM哈希,与时间戳一起加密,使用krbtgt密码哈希作为共享密钥。这个过程发生在客户端(如用户计算机)向域控制器(KDC,Key Distribution Center)请求Ticket-...
身份认证攻击
qq_48814526的博客
06-18 665
与dvwa相比,Pikachu的每类漏洞根据不同的情况分别设计了不同的子类,同时,为了让这些漏洞变的有意思一些,在Pikachu平台上为每个漏洞都设计了一些小的场景,点击漏洞页面右上角的"提示"可以查看到帮助信息。此模块的实验,最终结果并没有成功连接到靶机win7,在win7上位于445端口的共享服务也是处于正常运行状态,但从kali进行攻击,比对了几个用户之后,还是不能连接,猜想应该是kali主机内部环境的问题,所以这个实验并没有完成功,之后我会尝试多种办法,找到原。结果截图并作必要的说明。
加密算法与身份验证协议深度解析:从对称到非对称,从NTLM到Kerberos
HASH哈希算法是一种单向加密技术,如MD5、SHA-1,用于数据完整性校验,不可逆,能检测数据是否被篡改。公共密钥体系,如RSA,结合了对称加密和非对称加密的优点,通过公钥加密、私钥解密,用于身份验证和数据...
Windows LM/NTLM HASH加密及获取工具
weixin_38023368的博客
09-04 4622
MD5和SHA1可以说是目前应用最广泛的Hash算法,而它们都是以MD4为基础设计的。那么他们都是什么意思呢?这里简单说一下: (1)MD4 MD4(RFC 1320)是MIT的Ronald L. Rivest在1990年设计的,MD是Message Digest的缩写。它适用在32位字长的处理器上用高速软件实现,它是基于32位操作数的位操作来实现的。 (2) MD5 MD5(RFC 1321)是Rivest于1991年对MD4的改进版本...
windows用户密码破解
qq_45927819的博客
03-03 1万+
文章目录一、hash简介二、Windows系统下的hash密码格式三、windows hash抓取1、通过SAM文件+mimikatz读取密码2、mimikatz3、procdump64+mimikatz4、QuarksPwDump5、wce四、利用Hash远程登录系统 一、hash简介 Hash主要用于信息安领域中加密算法,渗透测试中获取目标系统的明文或Hash往往是整个渗透测试过程中重要的一环。在Windows系统中本机用户的密码Hash是放在本地的SAM文件里面,域内用户的密码Hash是存在域控的N
Windows NT/NTLM 加密
weixin_30511039的博客
05-27 742
Hash,一般翻译为“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射,pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。 一、M...
【内网学习】4.LMHashNTLM Hash
gclome的博客
03-06 7081
目录 1 LM Hash及其生成过程 2 NTLM Hash及其生成过程 3 生成lm hashntlm hash的网站 参考文章 windows 操作系统通常使用两种方法对用户的明文密码进行加密处理。在域环境中,用户信息存储在ntds.dit中,加密后为散列值。 在windows下通过SAMInside提取到的密码Hash时,可以看到有两条,分别是LM-Hash和NT-Hash,这是对同一个密码的两种不同的加密方式。在windows操作系统中,hash的结构通常如下: user...
Windows系统散列值获取
weixin_43047908的博客
05-16 1669
目录Windows认证机制单机密码抓取SAM(安账户管理器)lsass.exe Windows认证机制 Windows下的安认证机制总共有两种,一种是基于NTLM认证方式,主要用在早期的Windows工作组环境中;另一种是基于Kerberos的认证方式,主要用在域环境中。 在windows中,密码通常由LM HashNTLM Hash组成,结构: username:RID:LM-HASH:NT-HASH LM Hash:使用 DES加密 ,用户密码设置14位以上,即为停用LM Hash。 NTL
域基础-NTLM协议
最新发布
qq_34942239的博客
05-11 1829
协议之后微软提出了HTML协议,这一协议安性更高,不仅可以用于工作组中的机器身份验证,又可以用于域环境身份验证,还可以为SMB、HTTP、LDAP、SMTP等上层应用提供身份验证。
Windows下LM-HashNTLM-Hash生成原理
热门推荐
endeav_or的博客
12-06 2万+
LM-HashNTLM-Hash在windows下通过SAMInside提取到的密码Hash时,可以看到有两条,分别是LM-Hash和NT-Hash,这是对同一个密码的两种不同的加密方式,下面对其生成原理做个实验。Windows下LM-Hash生成原理这里用实例展示LM-Hash的具体产生过程。我使用的明文口令是“123993”,可以看到在使用SAMInside提取出来的LM-Password是
没有人比我更了解NTLM协议
weixin_65550121的博客
12-10 1728
其实简单来说,就是客户端去访问SMB服务的时候,需要输入服务端的账号和密码,来进行校验身份,此时客户端会将服务端的密码存储在自己的本地中,然后当服务端发送过来的质询消息中包含质询值发送过来的时候,客户端会将之前保存服务端的那个密码的hash,对这个质询值进行加密,加密之后封装成认证消息发送给服务端,服务端紧接着用自己的密码也对质询值进行加密。没有定义的话,就是使用的默认值。②:服务端接收到客户端发送过来的Type 1消息后,会读取其中的内容,并从中选择出自己所能接受的服务内容,加密等级,安服务等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值