系列文章第一章节之基础知识篇
内网渗透(一)之基础知识-内网渗透介绍和概述
内网渗透(二)之基础知识-工作组介绍
内网渗透(三)之基础知识-域环境的介绍和优点
内网渗透(四)之基础知识-搭建域环境
内网渗透(五)之基础知识-Active Directory活动目录介绍和使用
内网渗透(六)之基础知识-域中的权限划分和基本思想
内网渗透(七)之基础知识-企业常见安全域划分和结构
内网渗透(八)之基础知识-企业域中计算机分类和专业名
系列文章第二章节之内网信息收集篇
内网渗透(九)之内网信息收集-手动本地信息收集
内网渗透(十)之内网信息收集-编写自动化脚本收集本地信息
内网渗透(十一)之内网信息收集-内网IP扫描和发现
内网渗透(十二)之内网信息收集-内网端口扫描和发现
内网渗透(十三)之内网信息收集-收集域环境中的基本信息
内网渗透(十四)之内网信息收集-域环境中查找域内用户基本信息
内网渗透(十五)之内网信息收集-域环境中定位域管理员
内网渗透(十六)之内网信息收集-powershell基础知识
内网渗透(十七)之内网信息收集-powershell收集域内信息和敏感数据定位
系列文章第三章节之Windows协议认证和密码抓取篇
内网渗透(十八)之Windows协议认证和密码抓取-本地认证(NTML哈希和LM哈希)
注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!
Windows网络认证之基于挑战响应认证的NTLM协议
网络认证NTLM协议简介
在平时的测试中,经常会碰到处于工作组的计算机,处于工作组的计算机之间是无法建立一个可信的信托机构的,只能是点对点进行信息的传输。举个例子就是,主机A想要访问主机B上的资源,就要向主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允许主机A进行相应的访问。
NTLM 协议是一种基于 挑战(Chalenge)/响应(Response) 认证机制,仅支持Windows的网络认证协议。
它主要分为协商、质询和验证三个步骤:
协商:这个是为了解决历史遗留问题,也就是为了向下兼容,双方先确定一下传输协议的版本等各种信息。
质询:这一步便是Chalenge/Response认证机制的关键之处,下面会介绍这里的步骤。
验证:对质询的最后结果进行一个验证,验证通过后,即允许访问资源
NTLM协议认证流程
认证成功
1、首先,client会向server发送一个username,这个username是存在于server上的一个用户
2、首先server会在本地查询是否存在这样的一个用户,如果存在,将会生成一个16位的随机字符,即Chalenge,然后用查询到的这个user的NTLM hash对Chalenge进行加密,生成Chalenge1,将Chalenge1存储在本地,并将Chalenge传给client。
3、当client接收到Chalenge时,将发送的username所对应的NTLM hash对Chalenge进行加密即Response,并Response发送给server。
4、server在收到Response后,将其与Chalenge1进行比较,如果相同,则验证成功
认证失败
1、首先,client会向server发送一个username,这个username是存在于server上的一个用户
2、当server接收到这个信息时,首先会在本地查询是否存在这样的一个用户,如果不存在,则直接返回认证失败
NTML协议v1和v2区别
NTLM V2协议,NTLMv1与NTLM v2最显著的区别就是Challenge与加密算法不同,共同点就是加密的原料都是NTLM Hash
NTLM v1的Challenge有8位,NTLM v1的主要加密算法是DES
NTLM v2的Challenge为16位,NTLMv2的主要加密算法是HMAC‐MD5
抓包分析
1、实验环境如下
| 机器名称 | IP地址 | 账号密码 |
|---|---|---|
| 实验机器 (windows 10) | 192.168.41.132 | 自己的 |
| 靶机(windows server 2008 ) | 192.168.41.130 | kkk/Admin@123 |
2、windows 10 上 已经安装了 wireshark
3、使用如下命令进行远程连接,并且使用wireshark 包
net use \\192.168.41.130 /u:kkk Admin@123
4、前5个数据包中前四条是协商,第五个是认证的第一个数据包
5、第6个数据包就是返回chalenge挑战值
分析该数据包得到chalenge值 53fb7eb8d40cc777
6、第7个数据包就是返回response的数据包
rsponse数据如下:
3d00ee8a5618f85651098b8005883d5c0101000000000000f790f7af9b92d8019cba65f5e39a1ea90000000002000e00
42004d002d00320030003000380001000e0042004d002d00320030003000380004000e0042004d002d00320030003000
380003000e0042004d002d00320030003000380007000800f790f7af9b92d80106000400020000000800300030000000
0000000001000000002000009906b326309f0ba76eb46b2271795e5d12df73e87035391df48f0fad1ce073380a001000
000000000000000000000000000000000900260063006900660073002f003100390032002e003100360038002e003400
31002e003100330030000000000000000000
7、接下来得到NTLMv2 数据,NTLMv2格式如下:
username::domain:challenge:HMAC‐MD5:blob
username:对应数据包中 user name
domain:对应数据包中的 Domain name
HMAC‐MD5:对应数据包中的NTProofStr
blob:数据库包中rsponse去掉HMAC‐MD5的值
8、最终的到HTLNv2如下:
kkk:::53fb7eb8d40cc777:3d00ee8a5618f85651098b8005883d5c:0101000000000000f790f7af9b92d8019cba65f5
e39a1ea90000000002000e0042004d002d00320030003000380001000e0042004d002d00320030003000380004000e00
42004d002d00320030003000380003000e0042004d002d00320030003000380007000800f790f7af9b92d80106000400
0200000008003000300000000000000001000000002000009906b326309f0ba76eb46b2271795e5d12df73e87035391d
f48f0fad1ce073380a001000000000000000000000000000000000000900260063006900660073002f00310039003200
2e003100360038002e00340031002e003100330030000000000000000000
9、使用hashcat 破解密码
hashcat ‐m 5600
kkk:::53fb7eb8d40cc777:3d00ee8a5618f85651098b8005883d5c:0101000000000000f790f7af9b92d8019cba65f5
e39a1ea90000000002000e0042004d002d00320030003000380001000e0042004d002d00320030003000380004000e00
42004d002d00320030003000380003000e0042004d002d00320030003000380007000800f790f7af9b92d80106000400
0200000008003000300000000000000001000000002000009906b326309f0ba76eb46b2271795e5d12df73e87035391d
f48f0fad1ce073380a001000000000000000000000000000000000000900260063006900660073002f00310039003200
2e003100360038002e00340031002e003100330030000000000000000000 1.txt ‐‐force
10、使用hashcat破解得到密码
