内网渗透学习-Windows认证

最新推荐文章于 2024-09-16 20:51:41 发布
最新推荐文章于 2024-09-16 20:51:41 发布
阅读量139 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52165956/article/details/128711357
版权

内网渗透学习-Windows认证

  • windows本地认证
  • windows网络认证
  • kerberos域认证

前言:

进入公司实习期间,参与了护网红队的工作,见识了师傅们逆天强悍的操作,深刻认识到了要学的还有很多很多很多,所以假期着手用空闲时间整理一个内网学习系列,针对内网渗透做一个总结。

本章内容是Windows认证,在内网横向渗透中还是非常重要的。

windows本地认证

 过程图:

(lsass用于微软Windows系统的安全机制,它用于本地安全和登录策略。) 

其中牵涉到了两个非常重要的加密算法,即windows存储密码的方式,一般是使用的lmhash和ntlmhash,尤其ntlmhash,在本文中牵涉的三种认证,都离不开这个算法。

LM HASH消息验证

LM HASH采用的方式是DES加密

参考链接,原文附python实现的加密脚本(https://xz.aliyun.com/t/2445)

 加密过程如下:

  1. 用户的密码长度被限制载14个字节以内
  2. 将输入的所有密码转换为大写
  3. 将内容转换为16进制,不足14字节用0补齐
  4. 6进制字符串分成两个7byte部分。每部分转换成比特流,并且长度位56bit,长度不足使用0在左边补齐长度,再分7bit为一组末尾加0,组成新的编码
  5. 上步骤得到的8byte二组,分别作为DES key为"KGS!@#$%"进行加密。
  6. 将二组DES加密后的编码拼接,得到最终LM HASH值。

这种加密算法下,如果密码不超过8位安全就很低(转16进制后面都是用0补齐,破解难度大大降低。密码长度最大14位,且14位密码也很好破),而且用的是DES加密算法,学过密码学就知道,这种算法放现在暴力破解难度很低。

从Windows Vista和Windows Server 2008开始,微软默认禁用LM hash。在Windows Server 2012 R2及之后版本的操作系统中,默认不会在内存中保存明文密码,Mimikatz 就读不到密码明文,只能读取哈希值。

NTLM HASH消息验证

NTML HASH采用的方式是先16进制编码,再转unicode,最后利用MD4加密的方式,安全性相对更高。

采用的消息验证机制(详情:https://xz.aliyun.com/t/2445)

windows网络认证

网络认证的过程图:

 实际利用过程中会利用Mimikatz抓取的hash进行伪造,与相应的计算机交互、

中间利用psxec进行一些远程命令的执行

psxec和Mimikatz的使用在网上有大量的内容和教程,此处不多赘述

kerberos域认证

 kerberos域认证是域渗透中很重要的内容,这部分内容学校计算机网络课程中也提到过

 网上关于kerberos的介绍也很多,这里做一个简单的梳理(参考:https://blog.csdn.net/Howell_0626/article/details/125532666及https://blog.csdn.net/m0_58606546/article/details/121435198)

首先罗列一下整个环节中的重要名词

DC(Domain Control):域控制器

KDC(Key Distribution Center):密钥分发中心,在域环境中,KDC服务默认会安装在域控中。

AD(Account Database):账户数据库

AS(Authentication Service):身份验证服务,验证client的credential(身份认证信息),发放TGT。

TGS(Ticket Granting Service):票据发放服务,验证TGT,发放ST。

ST(Service Ticket):服务票据,由KDC的TGS发放,是客户端应用程序访问Server某个服务的凭证,Server端验证通过则完成Client与Server端信任关系的建立。

TGT(Ticket Granting ticket):票据授权票据,由KDC的AS发放,客户端获取到该票据后,以后申请其他应用的服务票据(ST)时,就不需要向KDC的AS提交身份认证信息(credential),TGT具有一定的有效期。由 KBRTGT HASH 加密的 sessionkey-as 和 Timestamp 等信息。TGT=KBRTGT HASH()

Ticket:票据

Master Key:长期密钥

Session Key:短期会话密钥

krbtgt账户:每个域控制器都有的KDC服务账户,这是一个特殊账户,它是一个无法登录的账户,创建域时系统会自动创建这样一个账户,在整个kerberos认证中会多次用到它的Hash值去做验证。它是获得黄金票据的关键一环。

Session key:用来加密client和TGS之间传输的数据。

Server session key:用来加密client和server之间传输的数据。

一张总结非常非常到位的图(来源:https://blog.csdn.net/Howell_0626/article/details/125532666)

 实际渗透中的两个重要概念:

黄金票据:伪造TGT,前提是有域控管理员的权限(利用mimikatz获取krbtgt账户密码哈希值),获取krbtgt账户的Hash(NTML哈希)。伪造要求是域名称,域SID值,域的krbtgt账户的Hash,需要伪造的用户名。
白银票据:相对黄金票据简单很多,要求获取通信服务器的NTML Hash密码

金票银票的区别在于:获取的权限不同,认证的流程不同,加密方式不同。

以下是关于Kerberos域渗透的一些可能出现的面试题:

白银票据与黄金票据的原理?

针对Kerberos的攻击?

 

willing-sir
关注
内网渗透-Windows内网渗透
lza20001103的博客
08-15 1849
内网渗透-Windows内网渗透 文章目录内网渗透-Windows内网渗透前言一、信息收集1.1、SPN1.2、端口连接1.3、配置文件1.4、用户信息1.6、会话收集1.7、凭据收集navicat:SecureCRT:Xshell:WinSCP:VNC:1.8、DPAPI1.9、域信任1.10、域传送1.11、DNS记录获取1.12、WIFI1.13、GPP1.14、Seatbelt1.15、Bloodhound1.16、Exchange1.16.1 邮箱用户密码爆破1.16.3 信息收集二、传输通道2.
内网渗透-windows权限维持的方法
lza20001103的博客
08-26 1194
windows权限维持的方法 文章目录windows权限维持的方法一、影子账户二、粘滞键后门三、logon scripts后门五、注册表自启动后门六、屏幕保护程序后门七、计划任务后门八、服务自启动后门九、黄金票据十、白银票据十二、bitsadmin十五、CLR劫持 一、影子账户 1.使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用
Windows LM/NTLM HASH加密及获取工具
weixin_38023368的博客
09-04 4413
MD5和SHA1可以说是目前应用最广泛的Hash算法,而它们都是以MD4为基础设计的。那么他们都是什么意思呢?这里简单说一下: (1)MD4 MD4(RFC 1320)是MIT的Ronald L. Rivest在1990年设计的,MD是Message Digest的缩写。它适用在32位字长的处理器上用高速软件实现,它是基于32位操作数的位操作来实现的。 (2) MD5 MD5(RFC 1321)是Rivest于1991年对MD4的改进版本...
Windows下LM-Hash与NTLM-Hash生成原理
热门推荐
endeav_or的博客
12-06 2万+
LM-Hash与NTLM-Hash在windows下通过SAMInside提取到的密码Hash时,可以看到有两条,分别是LM-Hash和NT-Hash,这是对同一个密码的两种不同的加密方式,下面对其生成原理做个实验。Windows下LM-Hash生成原理这里用实例展示LM-Hash的具体产生过程。我使用的明文口令是“123993”,可以看到在使用SAMInside提取出来的LM-Password是
Windows NT/NTLM 加密
maxwell2place
03-03 2344
<br /><br />Hash,一般翻译为“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射,pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。<br /><br /><br />       一、MD5 和 SHA1 可以说是目前应用最广泛的Hash算法,而它
内网渗透学习-Windows信息收集
willing-sir的博客
08-04 378
内网渗透学习-Windows信息收集 本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详细的实践过程。 后渗透中最重要的环节就是信息收集。 收集思路 权限: 看哪些地方是有权限可以利用的   看有哪些进程 看有几个用户 查看敏感的配置文件 网络: 看路由 看arp 进程通信...
ISC-内网渗透 -最终版.pdf
04-08
#### Windows认证方式 Windows支持多种认证方式,包括: - **Kerberos认证**:基于票证的认证机制,用于验证用户和服务的身份。 - **NTLM认证**:一种基于挑战/响应机制的身份验证协议。 - **Digest SSP**:基于摘要...
内网渗透——WINDOWS认证机制之NTLM
我们为什么能在这里遇到?
09-28 1880
域渗透就是基于windows域环境的渗透,而域渗透涉及到的技术,如哈希传递(PTH)票据传递(PTT)委派攻击等,都是基于域环境下的认证机制来实现的,这也是为什么要了解Windows认证机制的原因之一 Windows认证包括三个部分,用户直接操作计算机登陆账户(本地认证),远程连接到工作组中的某个设备(网络认证),登陆到域环境中的某个设备(域认证) 参考:zresx 参考:3gstudent 本地认证 NTLM 本地认证十分简单:用户输入密码,系统收到密码后将用户输入的密码计算成NTLM Hash,然后与
内网渗透-实战|手把手教你如何进行内网渗透
lza20001103的博客
08-18 1747
实战|手把手教你如何进行内网渗透 x00 Preface 内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。 内网相关概念这里不再进行介绍,大家可以自行百度,诸如什么是域、域与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解。某内网靶场的详细教程:Vulnstack(一) 内网渗透过程中经常会涉及到内网穿透,如何理解内网穿透以及端口转发、端口映射等相关
HAL库学习目录查询表
weixin_54210362的博客
09-11 321
日期 内容 2024.09.11 基于STM32C8T6的CubeMX:HAL库点亮LED 2024.09.11 STMCuBeMX新建项目的两种匪夷所思的问题 2024.09.11 STMCubeMX文件下载后会出现其他项目无法下载的问题
shader 案例学习笔记之将坐标系分成4个象限
localhost
09-13 221
坐标系被分成了4个单元格,每个单元格都有唯一的索引,后续就可以根据索引去渲染。
JUC学习笔记(二)
最新发布
zhouDonQuixote的博客
09-16 1392
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录四、共享模型之内存4.1 Java 内存模型4.2 可见性退不出的循环解决方法可见性 vs 原子性模式之 Balking1.定义2.实现4.3 有序性原理之指令级并行1. 名词2.鱼罐头的故事3.指令重排序优化4.支持流水线的处理器诡异的结果解决方法原理之 volatile1.如何保证可见性2.如何保证有序性3.double-checked locking 问题4.double-checked locking 解决happens-
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
qq_44189622的博客
09-11 854
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
计算几何学习
网安小白
09-12 457
学习计算几何过程中对经典算法的记录
Spring Framework 学习总结博客
2302_80084329的博客
09-13 1026
通过本文的学习,我们从Spring的核心架构入手,逐步理解了IoC和DI的概念,并通过代码示例掌握了如何在实际项目中使用这些技术。Spring通过IoC容器管理bean,依赖注入将bean之间的关系解耦,大大简化了复杂系统的开发过程。这些基本的Spring知识是理解其高级特性(如AOP、事务管理)的基础,掌握这些概念后,我们可以更加自如地使用Spring构建复杂的企业级应用。
看Threejs好玩示例,学习创新与技术(二)
htsitr2的专栏
09-14 493
它的主要特点是确保生成的点之间保持一定的最小距离,从而避免点的聚集。这种方法在计算机图形学、游戏开发、物理模拟等领域中非常有用,尤其是在需要生成自然分布的对象(如树木、石头等)时。如果不进行裁剪,那么效果如下(初步的锯齿感是因为矩形内采样的结果)。为啥这么复杂呢,为啥不开始存储每个方块的UV呢?下面代码的vTexCoords(=savedModelMatrix,已修改)记录方块所在的位置,vWorldPosition表示方块中像素的偏移。在上面那副图中,聪明的你一定初步猜到了每个方块的纹理是怎么得到的。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-14 1073
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
(学习总结17)C++继承
瞌睡不来的博客
09-16 623
C++继承
Windows内网渗透学习:信息收集与SPN扫描实践
本文主要探讨的是内网渗透的手动学习实践,作者在阅读了腾讯蓝军的红蓝对抗之Windows内网渗透后,决定按照自己的理解和实践来整理相关知识。文章分为环境搭建、信息收集两个主要部分,并涉及了SPN扫描和端口信息的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值