NTLM协议原理分析

最新推荐文章于 2024-05-11 20:28:17 发布
最新推荐文章于 2024-05-11 20:28:17 发布
阅读量1.7k 收藏 4
点赞数 4
分类专栏: 内网攻防 文章标签: ntlm认证 net-ntlm hash Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/129396092
版权

LM Hash 和 NTLM Hash

windows用户的密码以哈希的形式保存在SAM文件中“%SystemRoot%\system32\config\SAM”。域用户的密码以哈希的形式保存在域控的 NTDS.dit 文件中。 密码的哈希值格式如下

用域名:uid:LM哈希:NTLM哈希:::

由于LM Hash 有安全缺陷,所以Windows Vista 和 Windows Server 2008开始,默认情况下只存储 NTLM Hash,LM Hash 将不再存储。

Windows认证分类

而NTLM中继(NTLM Relay)是指在NTLM认证过程中设置中间人对HTLM认证的请求截获并转发的一种攻击行为。

在 Windows 中,最常见的两种认证体系为 NTLM 认证和 Kerberos 认证。NTLM认证就是利用 NTLM Hash 进行的认证,可以分为本地认证和网络认证。

NTLM本地认证

windows用户的密码保存在SAM文件中“%SystemRoot%\system32\config\SAM”。计算机启动时,操作系统会让winlogon.exe 程序显示登录界面(输入框),当你输入用户密码进行登录时,lsass.exe会将你输入的明文密码加密成NLTM哈希,再sam文件中的哈希进行对比,一致则登陆成功

NTLM网络认证

NTLM网络认证,即可用于工作组的认证,也可用于域环境。NTLM 有 NTLMv1 、NTLMv2 、NTLMsession v2 三个版本,目前使用最多的是NTLMv2版本。比如当我们访问同一局域网的一台主机上的SMB共享时需提供凭证后才能成功进行访问,这就涉及到NTLM网站认证。

下面介绍NTLM网络认证的原理及利用方式

NTLM认证机制

NTLM(NT LAN Manager)是一套安全协议,利用NTLM哈希进行认证。NTLM认证是一种基于Challenge/Response的验证协议

NTLM在工作组环境的认证

N在认证过程中会发送以下三种类型的消息:

  • TYPE 1 协商:双方确定传输协议的版本、明文用户名。

  • TYPE 2 质询:生成Challenge

  • TYPE 3 身份验证:发送Response

NTLM版本

协商会确认NTLM版本,分为:NTLM v1、NTLM v2、NTLM v2 Session,目前使用最多的是NTLM v2。NTLMv1与NTLM v2最显著的区别就是Challenge与加密算法不同,共同点就是加密的原料都是NTLM Hash,NTLM v1的Challenge有8位,NTLM v2的Challenge为16位;NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。

比如,局域网的两台主机A和主机B,暂且将主机A称为client,主机B称为server

工作组中:

  1. 当客户端要访问服务器上某个受保护的服务时,需要输入服务器的用户名和密码进行验证。此时客户端会在本地缓存一份服务器密码的NTLM hash,然后向服务器发送协商消息。

  1. 服务器收到客户端的协商信息后,生成并回复质询消息。该消息中包含了一个由服务端生成的16位随机值challenge,服务器也会在本地缓存该值。

  1. 客户端收到质询消息后,会使用步骤1中缓存的服务器的NTLM hash对Challenge进行加密生成Response,接着再生成Net-NTLM hash=Challenge+Response+用户名等,再将Net-NTLM hash封装到身份验证消息中发往服务器。

  1. 服务器在收到身份验证消息后,用自己密码的NTLM hash对Challenge进行加密生成Response2,并比较Response2与Response是否一致。如果一致,就证明客户端掌握了服务器的密码,认证成功,否则认证失败。

NTLM在域环境的认证

在域环境中,由于所有域用户的哈希值都 存储在域控制器的NTDS.dit中,服务器本身无法计算Response消息,因此需要与域控建立一个安全通道,并通过域控完成最后的认证流程。前三个步骤同工作组环境的认证

  1. 当域用户输入自己的账号和密码登录客户端主机时,客户端会将用户输入的密码转换为NTLM hash并缓存。当用户想访问域内某台服务器上的资源时,客户端会向服务器发送TYPE1 Negotiate消息

  1. 同NTLM在工作组环境中的认证

  1. 同NTLM在工作组环境中的认证

  1. 服务器收到客户端发来的TYPE 3消息后,会将消息通过 Netlogon协议转发给域控制器。

  1. 域控制器根据TYPE 3消息中的用户名获取该用户名的NTLM hash,用NTLM hash对原始的Challenge进行加密并生成Response,然后将其与TYPE 3消息中Response对比。如果一致,就证明客户端掌握了服务器密码,认证成功,否则认证失败。

  1. 服务器根据域控返回的验证结果,对客户端进行相应的回复。

NTLM协议抓包分析

实验环境工作组

  • 主机A:192.168.125.129

  • 主机B:192.168.125.130

主机A访问主机B的共享并成功认证时

 net use \\192.168.125.130\c$ win7.com /user:administrator

可以看到整个过程分为4步

  • Session Setup Request, NTLMSSP_NEGOTIATE 协商

  • Session Setup Response, Error: STATUS_MORE_PROCESSING_REQUIRED, NTLMSSP_CHALLENGE 返回challenge

  • Session Setup Request, NTLMSSP_AUTH, User: \administrator 提交ntlm hash

  • Session Setup Response 返回认证成功

当认证失败时,整个认证过程也是4步,前三步和认证成功的过程一致,只有最后一步不一致

  • Session Setup Request, NTLMSSP_NEGOTIATE 协商

  • Session Setup Response, Error: STATUS_MORE_PROCESSING_REQUIRED, NTLMSSP_CHALLENGE 返回challenge

  • Session Setup Request, NTLMSSP_AUTH, User: \administrator 提交ntlm hash

  • Session Setup Response, Error: STATUS_LOGIN_FAILURE 返回认证失败

在认证的整个过程中,不过认证成功还是失败,都会返回challenge,前面的认证原理已经讲过。

那返回的challenge在哪里了?

如下,NTLM Server Challenge: 745d99992196a1b2,这个16位长的字符串就是challenge

Net-NTLM hash组成

Net-NTLM hash v2的格式如下

username::domain:challenge:HMAC-MD5:blob

username和domain如下所示,这里domain为NULL即为空

challenge

HMAC-MD5对应数据包中的NTProofStr

blob对应NTLM Response值中去掉NTProofStr值后剩余的后半部分,如下

所以完整的NTLMv2数据为如下,此数据为Net-NTLM hash。

username::domain:challenge:HMAC-MD5:blob

administrator::: de80d8c98d613290: 2d10d365458e1d0477882e2f9ad26d12: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

然后使用hashcat即可破解

把hash放进hash.txt中,执行如下

hashcat.exe -m 5600 hash.txt pass.txt

获取出明文密码win7.com

Net-NTLM hash的利用

实战中可以通过中间人等方式截获客户端的认证请求,并获取Net-NTLM hash。红队人员可以选择对Net-NTLM hash进行暴力破解并获取客户端用户的明文密码。除了爆破外,还有另外一种利用方法,即NTLM Relay。

Ly4j
关注
专栏目录
内网安全之-NTLM协议详解
Karka_的博客
07-07 993
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
域渗透05-协议NTLM
GalaxySpaceX的博客
10-20 1008
NTLM分析
没有人比我更了解NTLM协议
weixin_65550121的博客
12-10 1673
其实简单来说,就是客户端去访问SMB服务的时候,需要输入服务端的账号和密码,来进行校验身份,此时客户端会将服务端的密码存储在自己的本地中,然后当服务端发送过来的质询消息中包含质询值发送过来的时候,客户端会将之前保存服务端的那个密码的hash,对这个质询值进行加密,加密之后封装成认证消息发送给服务端,服务端紧接着用自己的密码也对质询值进行加密。没有定义的话,就是使用的默认值。②:服务端接收到客户端发送过来的Type 1消息后,会读取其中的内容,并从中选择出自己所能接受的服务内容,加密等级,安全服务等。
NTLM认证基本原理及编程简介
10-28
NTLM认证基本原理及编程简介 对需要的人很有用
NTLM 工作原理概述
Matthew的博客
12-28 8894
NTLM 工作原理概述 1. 为何采用NTLM 微软采用 Kerberos 作为 Windows 2000及之后的活动目录域的默认认证协议。当某个服务器隶属于一个Windows 服务器域或者通过某种方式(如Linux到Windows AD的认证)与Windows 服务器域建立了信任关系的时候,通常采用Kerberos作为认证协议。但是无论你是否拥有活动目录域,NTLM都可以被采用。
域基础-NTLM协议
最新发布
qq_34942239的博客
05-11 1758
协议之后微软提出了HTML协议,这一协议安全性更高,不仅可以用于工作组中的机器身份验证,又可以用于域环境身份验证,还可以为SMB、HTTP、LDAP、SMTP等上层应用提供身份验证。
Windows安全认证原理[NTLM篇]
田发江的专栏
08-01 6035
Windows安全认证有两种方式:Kerberos和NTLM。其中Kerberos是首选的认证方式,该方式用在域环境下,且比较复杂。在此,我们介绍下相对简单的Windows另一种认证协议——NTLM(NT Lan Manager)。NTLM使用在Windows NT和Windows 2000 Server(or later)工作组环境中(Kerberos用在域模式下)。在AD域环境中,如果
httpclient使用NTLM协与https协议访问双向认证站点
04-22
本文将深入探讨如何使用HttpClient实现NTLM协议以及处理HTTPS的双向认证,同时也会提及到源码分析和工具的使用。 首先,NTLM(NT LAN Manager)是一种身份验证协议,常用于Windows环境,特别是当集成Windows域时。...
windows登录口令存储所使用的LM和NTLM散列函数
12-16
3. **Kerberos协议**:在现代Windows系统中,Kerberos已经成为默认的身份验证协议,它比LM和NTLM更安全,因为它使用双方的会话密钥进行通信,而不是单独的口令散列。 总的来说,理解LM和NTLM散列函数不仅有助于我们...
基于NTLM认证的中间人攻击(含实战)
Blue_Arc的博客
08-04 2507
文章目录中间人攻击0x01 域和工作组0x02 NTLM认证(Windows)本地认证NTLM Hash的生成网络认证工作组环境NTLM认证流程域环境NTLM认证0x03 域名解析协议LLMNR解析过程NetBIOSWindows系统域名解析顺序0x04 WPAD工作原理WPAD劫持0x05 NTLM中继0x06 Responder介绍攻击演示利用LLMNR和NetBIOS截取Net-NTLM Hash利用WPAD劫持获得Net-NTLM HashSMB Relay总结**Reference** 中间人攻击
计算机网络协议专栏介绍以及综述
村中少年的专栏
07-28 1194
计算机网络协议专栏介绍以及综述
服务器上文件共享有哪些协议,Windows中的文件共享协议
weixin_39629947的博客
08-06 3810
实验步骤步骤 1:下载实验文件小 i 提示:在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。在实验环境中无法连接互联网,请使用您本地的网络环境。步骤 2:CIFS 协议分析这里我们借助于实验文件Lab19-1.cap进行分析:首先,由于 CIFS 是基于 TCP 的,所以由 TCP 的三次握手作为开始。并且可以发现,CIFS 的端口号是445。从第 4 个...
NTLM协议分析
envy2008的专栏
03-02 371
主要参考文章为: http://blog.csdn.net/skywoodsky/archive/2007/02/07/1504325.aspx   NTLM校验分为三个步骤:   1. 客户端向服务器发请求。   2. 服务器返回给客户端密钥。   3. 客户端把用返回的密钥加密的信息再发给服务器,服务器自己也用密钥加密一次客户发送的信息,经过比对,即可判断是否让其通行。  ...
聊聊NTLM认证协议
06-13 219
近期发现多家安全媒体发布NTLM协议漏洞的文章。他们越说越术语,越说越官方,如此这般下去,他们写出来到底给谁看?大雅就是俗,让我来一篇俗文。啥是NTLM呢?微软windows系统的用户账号存储密码哈希值的方式。一般有LM,NTML,NTLMv2.(NT LAN Manager)windows系统的局域网管理,管理账号密码存储方式的协议。有这个认知就行了。 比如你设置密码为passwor...
NTLM认证原理及其过程
2ed
11-19 8403
windows认证协议主要有以下两种: 基于ntlm认证方式,主要用在早期的windows工作组环境中,认证的过程也相对比较简单、 另一种是基于Kerberos的认证方式,主要用在域环境中 NTLM认证 正在上传…重新上传取消 以下步骤刻画了 NTLM 非交互式认证过程, 第一步中提供了用户的 NTLM 认证信息,该步是用户交互式认证(Logon)过程的一部分。 (...
NTLMNTLM协议 与挑战-鉴权协议
dr0op's blog
09-09 634
Windows操作系统中通常使用两种方法对用户的明文密码进行加密处理。在域环境中,用户信息存储在ntds.dit中,加密后为“散列”值在Windows下通过SAMInside 提取到的密码hash时,分别有两条,分别是LM-Hash 和NT-Hash
内网渗透--NTLM协议详解
qq_62169455的博客
09-01 669
概述:NTLM(NT LAN Manager)认证是一种早期的Windows网络身份认证协议。它在Windows系统中用于验证用户的身份,并提供对网络资源的访问控制,它是一种基于Challenge/Response的认证机制。
红队笔记之Windows网络认证NTLM协议浅析
明光札记
10-24 5288
渗透测试之Windows网络认证NTLM协议浅析 文章目录渗透测试之Windows网络认证NTLM协议浅析NTLM 协议NTLM 协议在工作组环境下的应用协商:质询Chalenge/Response与验证:NTLM 协议在域环境下的应用协商:质询Chalenge/Response与验证:哈希传递PTH(Pass The Hash)PTH原理PTH条件PTH利用PTH防御 NTLM 协议 NTLM协议是在Microsoft环境中使用的一种身份验证协议,它允许用户向服务器证明自己是谁(挑战(Chalenge)/
ntlm relay 原理
09-17
NTLM Relay 是一种攻击技术,利用了 NTLM(Windows 网络身份验证协议)的漏洞。该攻击允许黑客在网络中伪装成受害者与服务器进行通信,从而获取敏感信息或执行一些恶意操作。 NTLM Relay 攻击的原理如下: 1. 受害计算机通过 NTLM 协议与服务器进行身份验证。在此过程中,受害计算机和服务器之间会进行一系列的挑战-响应验证,包括凭据传递和会话密钥生成。 2. 黑客在网络中进行监听,并截获受害计算机与服务器之间的 NTLM 通信数据。这可以通过中间人攻击或通过 ARP 欺骗攻击完成。 3. 黑客将截获的 NTLM 通信数据传输给目标服务器,冒充受害者的身份与服务器进行通信。 4. 目标服务器接收到黑客发送的伪造的验证请求并验证其身份。由于黑客已经截获到了真实的 NTLM 通信数据,因此服务器会认为该请求来自于受害者。 5. 服务器将响应返回给黑客,并黑客将该响应转发给受害计算机。 6. 受害计算机将响应解密并发送给黑客。 通过 NTLM Relay 攻击,黑客可以实施多种恶意操作,例如获取受害者的用户名和密码、执行远程命令、篡改数据等。这种攻击技术在企业中尤其危险,因为它可能导致黑客获取管理员权限并在网络中横向移动,进一步危害整个系统的安全。 为了防止 NTLM Relay 攻击,企业应采取以下措施:禁用 NTLM 认证、启用 Kerberos 认证、使用防火墙限制对 NTLM 端口的访问、使用多因素身份验证、及时修补操作系统中的漏洞并使用最新版本的软件。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值