NTLM 协议

最新推荐文章于 2024-05-11 20:28:17 发布
最新推荐文章于 2024-05-11 20:28:17 发布
阅读量1w 收藏 8
点赞数 1
分类专栏: 450-操作系统及相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/18987979
版权

来源

介绍NTLM 之前,简单看一下NetBIOS和SMB是什么

NetBIOS协议是由IBM公司开发,主要用于数十台计算机的小型局域网。NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,几乎所有的局域网都是在NetBIOS协议的基础上工作的。


SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。另外,它是一个开放性的协议,允许了协议扩展——使得它变得更大而且复杂;大约有65个最上层的作业,而每个作业都超过120个函数,甚至Windows NT也没有全部支持到,最近微软又把 SMB 改名为 CIFS(Common Internet File System),并且加入了许多新的特色。


早期SMB协议在网络上传输明文口令。后来出现 LAN Manager Challenge/Response 验证机制,简称LM,它是如此简单以至很容易就被破解。微软提出了WindowsNT挑战/响应验证机制,称之为NTLM

现在已经有了更新的NTLMv2以及Kerberos验证体系。NTLM是windows早期安全协议,因向后兼容性而保留下来。NTLM是NT LAN Manager的缩写,即NT LAN管理器。

windows NT 系统大概是 微软1997年发表的,从Win2000开始默认协议为Kerboros。


NTLM 验证过程

 Microsoft NTLM给出了NTLM详细介绍。

NTLM 验证分为交互式验证和非交互式验证两种。

交互式验证:

    最典型的就是两个系统- 客户端请求验证; 域控制器端(保存了用户和密码的相关信息)

非交互式验证:

     已经登录系统的用户去请求另一台服务器的资源,这里就涉及到三个系统了-- 客户端, 域控制器和服务器。

这两种状况的使用状况简单举例来说, 使用场景可以是:

交互式验证就是域帐号登录某台机器。

非交互式验证就是已经登录这台机器的用户,使用SSO的方式去访问某web server 上的网页。

详细的验证过程是:

  1. (此步只有交互式验证需要)用户登录时输入的user name、password和domain name,然后Client端计算password的hash值并保存在本地
  2. 客户端将user name的明文发送给DC
  3. DC生成一个16-byte的随机数,叫做challenge,传输给client
  4. client收到challenge以后,在复制一份拷贝,然后将其中一个challenge用password hash加密,这个叫做response,然后将challenge,response以及user name传送给server
  5. server端在收到client传送过来的三份内容以后将它们转发给DC
  6. DC在收到user name,response,challenge以后,根据user name在account database中找到其对应的password hash,然后用这个password hash加密challenge
  7. 最后一步是客户端将response跟加密后的challenge进行比较,如果相同则NTLM验证成功。

Microsoft NTLM  中有提示:

不要直接使用NTLM,而是使用negotiate。如果使用negotiate的话,那么windows会判断kerberos是否可用,如果可用就优先使用kerberos,否则使用NTLM。kerberos的安全性要比NTLM要高。


NTLM HTTP认证

但在浏览器中使用NTLM验证的时,验证过程如下:

   1: C  --> S   GET ...

   

    2: C <--  S   401 Unauthorized

                 WW-Authenticate: NTLM

   

    3: C  --> S   GET ...

                 Authorization: NTLM <base64-encoded type-1-message>

   

    4: C <--  S   401 Unauthorized

                 WWW-Authenticate: NTLM <base64-encoded type-2-message>

   

    5: C  --> S   GET ...

                 Authorization: NTLM <base64-encoded type-3-message>

   

    6: C <--  S   200 Ok

从交互过程可以发现,client会发送type-1消息和type-3消息给server,而server会发送type-2消息给client。


Type-1消息包括机器名、Domain等

Type-2消息包括server发出的NTLM challenge

Type-3消息包括用户名、机器名、Domain、以及两个根据server发出的challenge计算出的response,这里response是基于challenge和当前用户的登录密码计算而得

从这里可以看出, 不管是否域帐号验证成功与否, 都可以通过这种方式获取登录机器的域帐号。

如何获取可以参考(JSP版):

java web 项目如何获取客户端机器信息


如果要使用jsp 实现域帐号验证实现SSO功能, 可以参考:

Java Web 项目SSO实战


在IE里,上述的交互会由浏览器自动完成,M$总是有办法自己到OS里去拿到Domain、用户名、密码等等信息的,而FF就没有这么方便了,它必须要用户手工输入,当server返回401错误后,FF会弹出该对话框让用户输入用户名、密码(在IE中,如果使用当前登录的用户名、密码验证失败后也会弹出这样的对话框)



其他

关于NTLM http 细节内容可以参考:

http://www.innovation.ch/personal/ronald/ntlm.html

http://davenport.sourceforge.net/ntlm.html#whatIsNtlm


SMB,也称为CIFS(Common Internet File System),CIFS协议的细节可以在MSDN上查到:

http://msdn2.microsoft.com/en-us/library/aa302240.aspx


NTLM认证是一个M$准备放弃的协议,在Windows 2000和以后的操作系统中,缺省的认证协议是Kerberos,只有在和2000之前的系统通信时才使用NTLM。当然这并不是说jCIFS2000以上就用不起来了,缺省情况总是可以用的,M$总是要保持兼容的J 当然如果你想实现基于KerberosSSO




oscar999
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTTP/1.1(消息格式、连接管理、条件请求、范围请求、缓存、身份验证)
rccrx的博客
08-13 1883
消息格式; 开始行; 请求方法; 请求目标; 状态码; 头部字段; 消息体; 连接管理; 条件请求(Conditional Requests); 范围请求(Range Requests); 缓存(Caching); 身份验证(Authentication)。
AD域单点登陆NTLM
04-12
下面我们将详细探讨如何在Java环境中利用NTLM协议集成AD域进行登录,并了解相关文件的作用。 首先,让我们理解NTLM协议NTLM是基于挑战-响应机制的身份验证协议,它不依赖于开放的密钥基础设施,而是依靠服务器和...
9 客户端认证方式 之 PKCE
Markix的博客
09-30 2564
PKCE 是授权码流程的扩展,用于防止 CSRF 和授权码(code)注入攻击。 所以 PKCE 一般都伴随着授权码模式使用,可称之为 增强版授权码流程,又称 Authorization Code with PKCE Flow。用于公共客户端的认证...
了解一下NTLM
rital的专栏
06-09 1259
NTLM 在客户机与服务器之间提供身份认证的安全包。NTLM   身份验证协议 是 质询/应答身份验证协议,是Windows   NT   4.0   及其早期版本中用于网络身份验证的默认协议。Windows   2000   中仍然支持该协议,但它不再是默认的。    NTLM身份验证过程:ntlm 是用于 Windows NT 和 Windows 2000 Server 工作组
域基础-NTLM协议
最新发布
qq_34942239的博客
05-11 1158
协议之后微软提出了HTML协议,这一协议安全性更高,不仅可以用于工作组中的机器身份验证,又可以用于域环境身份验证,还可以为SMB、HTTP、LDAP、SMTP等上层应用提供身份验证。
没有人比我更了解NTLM协议
weixin_65550121的博客
12-10 1414
其实简单来说,就是客户端去访问SMB服务的时候,需要输入服务端的账号和密码,来进行校验身份,此时客户端会将服务端的密码存储在自己的本地中,然后当服务端发送过来的质询消息中包含质询值发送过来的时候,客户端会将之前保存服务端的那个密码的hash,对这个质询值进行加密,加密之后封装成认证消息发送给服务端,服务端紧接着用自己的密码也对质询值进行加密。没有定义的话,就是使用的默认值。②:服务端接收到客户端发送过来的Type 1消息后,会读取其中的内容,并从中选择出自己所能接受的服务内容,加密等级,安全服务等。
NTLM认证
热门推荐
路虽远,行将至。事虽难,做必达。
03-06 1万+
NTLM(NT LAN MANAGER)是一种网络认证协议,它是基于挑战(Challenge)/响应(Response)认证机制的一种认证模式。 NTLM使用在Windows NT和Windows 2000 Server(or later)工作组环境中(kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM协议的认证过程分为三步: 1、协商:主要用于确认双方协议版本(NTLM v1/NTLM v2) 2、质询:就是挑战/响应认证机制起作用
ntml.rar_NTLM_NTML_ntlm算法_ntml协议认证_ntml认证
09-23
NTLM协议是基于质询-响应机制的,它通过三次握手来完成认证过程。首先,客户端向服务器发送一个不含任何认证信息的negoToken,请求使用NTLM认证。服务器回应一个challegeToken,其中包含一个随机生成的挑战值。最后...
NTLM.rar_NTLM
09-20
NTLM(NT LAN Manager)是微软Windows操作系统中的一种身份验证协议,主要用于网络资源访问的身份验证。这个协议在早期的Windows版本中广泛使用,虽然现在已被更安全的Kerberos协议取代,但在某些环境中,尤其是与旧...
NTLM-SSP:本项目是一篇NTLM中高级进阶进阶文章,后续我也会在Github和Gitbook对此文进行持续性的更新NTLM以及常见的协议中高级进阶并计划开源部分协议调试工具,望各位issue勘误
04-14
内容参考原文链接: 翻译人:rootclay(香山) Gitbook: 说明 本文是一篇NTLM中高级进阶进阶文章...后续我也会在和对此文进行持续性的更新NTLM以及常见的协议中高级进阶并计划开源部分协议调试工具,望各位issue勘误。
ntlm验证Java代码
04-17
NTLM(NT LAN Manager)是一种身份验证协议,广泛用于Windows网络环境,特别是在与Microsoft Active Directory集成的环境中。在Java编程中,如果你需要访问一个只接受NTLM身份验证的Web服务或者资源,你就需要实现...
opensource-challenge-client:难题OpenSource(挑战)挑战
02-05
开源挑战客户端 本自述文件概述了与此Ember应用程序进行协作的细节。 此应用程序的简短介绍可以轻松地转到此处。 先决条件 您需要在计算机上正确安装以下物品。 (使用npm) 安装 git clone <repository>此存储库 cd opensource-challenge-client npm install 运行/开发 ember serve 访问位于应用程序。 访问。 代码生成器 利用大量的代码生成器,尝试使用ember help generate更多详细信息 运行测试 ember test ember test --server 林亭 npm run lin
Challenge_client:前端
03-04
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 npm run build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 生成被最小化,并且文件名包括哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 npm run eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从您的项目中删除单个生成依赖项。 相反,它将所有配置文件和传递依赖项(we
域渗透05-协议NTLM
GalaxySpaceX的博客
10-20 790
NTLM分析
NTLM网络认证协议分析及Net-NTLMhash的获取
good good study
03-04 3713
​Windows认证分为本地认证和网络认证,传送门——>Windows认证原理,计算机开机时用户输入账户密码,这一行为要经过windows的本地认证。而比如当我们访问同一局域网的一台主机上的SMB共享时提供凭证通过验证才能成功进行访问,这就涉及到windows的网络认证。
NetBios, NetBios over TCP/IP, SMB 之间的关系
weixin_30449239的博客
12-19 578
首先提到的是NetBios,NetBios是Network Basic Input/Output System的缩写,提供了一种允许局域网内不同电脑能够通信的功能。严格来说,NetBios是一套API,而并不是一个网络协议。 如今,我们使用的网络协议栈是TCP/IP协议栈,在Windows操作系统上,NetBios运行在NetBios over TCP/IP的协议上,NetBios over T...
NTLM与kerberos认证体系详解
灰太的表格的博客
10-27 2209
NTLM与kerberos认证体系详解
内网安全之-NTLM协议详解
weixin_45910629的博客
03-18 2225
不同的SSP,实现的身份验证机制是不一样的。因此当我们获取到了用户密码的 NTLM Hash 而没有解出明文时,我们可以利用该 NTLM Hash 进行哈希传递攻击,对内网其他机器进行 Hash 碰撞,碰撞到使用相同密码的机器。它是发生在 NTLM 认证的第三步,在 Response 消息中存在 Net-NTLM Hash,当攻击者获得了 Net-NTLM Hash 后,可以进行中间人攻击,重放 Net- NTLM Hash,这种攻击手法也就是 NTLM Relay(NTLM 中继)攻击。
NTLM协议原理分析
good good study
03-08 1583
NTLMv1与NTLM v2最显著的区别就是Challenge与加密算法不同,共同点就是加密的原料都是NTLM Hash,NTLM v1的Challenge有8位,NTLM v2的Challenge为16位;客户端收到质询消息后,会使用步骤1中缓存的服务器的NTLM hash对Challenge进行加密生成Response,接着再生成Net-NTLM hash=Challenge+Response+用户名等,再将Net-NTLM hash封装到身份验证消息中发往服务器。密码的哈希值格式如下。
NTLM v1和v2协议的区别
05-12
NTLM v1和v2是NTLM协议的两个版本,它们之间的区别如下: 1. 安全性:NTLMv2比NTLMv1更安全。NTLMv1使用了弱的加密算法,容易受到各种攻击,如字典攻击、中间人攻击等。NTLMv2使用了更强的加密算法,提高了安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值