NTLM
Основна інформація
В середовищах, де працюють Windows XP та Server 2003, використовуються хеші LM (Lan Manager), хоча загальновідомо, що їх легко зламати. Конкретний хеш LM, AAD3B435B51404EEAAD3B435B51404EE
, вказує на ситуацію, коли LM не використовується, представляючи хеш для порожнього рядка.
За замовчуванням основним методом аутентифікації є протокол Kerberos. NTLM (NT LAN Manager) вступає в гру за певних обставин: відсутність Active Directory, неіснування домену, несправність Kerberos через неправильну конфігурацію або коли спроби підключення здійснюються за допомогою IP-адреси замість дійсного імені хоста.
Наявність заголовка "NTLMSSP" в мережевих пакетах сигналізує про процес аутентифікації NTLM.
Підтримка протоколів аутентифікації - LM, NTLMv1 та NTLMv2 - забезпечується конкретною DLL, розташованою за адресою %windir%\Windows\System32\msv1\_0.dll
.
Ключові моменти:
Хеші LM вразливі, а порожній хеш LM (
AAD3B435B51404EEAAD3B435B51404EE
) свідчить про його не використання.Kerberos є методом аутентифікації за замовчуванням, NTLM використовується лише за певних умов.
Пакети аутентифікації NTLM можна ідентифікувати за заголовком "NTLMSSP".
Протоколи LM, NTLMv1 та NTLMv2 підтримуються системним файлом
msv1\_0.dll
.
LM, NTLMv1 та NTLMv2
Ви можете перевірити та налаштувати, який протокол буде використовуватися:
GUI
Виконайте secpol.msc -> Локальні політики -> Параметри безпеки -> Мережевий захист: рівень аутентифікації LAN Manager. Є 6 рівнів (від 0 до 5).
Реєстр
Це встановить рівень 5:
Можливі значення:
Основна схема аутентифікації домену NTLM
Користувач вводить свої облікові дані
Клієнтська машина надсилає запит на аутентифікацію, відправляючи ім'я домену та ім'я користувача
Сервер надсилає виклик
Клієнт шифрує виклик, використовуючи хеш пароля як ключ, і надсилає його у відповідь
Сервер надсилає до контролера домену ім'я домену, ім'я користувача, виклик та відповідь. Якщо немає налаштованого Active Directory або ім'я домену є ім'ям сервера, облікові дані перевіряються локально.
Контролер домену перевіряє, чи все вірно і надсилає інформацію на сервер
Сервер та контролер домену можуть створити захищений канал через сервер Netlogon, оскільки контролер домену знає пароль сервера (він знаходиться в базі даних NTDS.DIT).
Локальна схема аутентифікації NTLM
Аутентифікація така ж, як і згадувалася раніше, але сервер знає хеш користувача, який намагається аутентифікуватися в файлі SAM. Тому, замість того, щоб запитувати контролер домену, сервер сам перевірить, чи може користувач аутентифікуватися.
Виклик NTLMv1
Довжина виклику становить 8 байт, а відповідь має довжину 24 байти.
Хеш NT (16 байт) ділиться на 3 частини по 7 байт кожна (7B + 7B + (2B+0x00*5)): остання частина заповнена нулями. Потім виклик шифрується окремо з кожною частиною, а отримані зашифровані байти об'єднуються. Всього: 8B + 8B + 8B = 24 байти.
Проблеми:
Відсутність випадковості
3 частини можуть бути атаковані окремо для знаходження NT хешу
DES можна зламати
3-й ключ завжди складається з 5 нулів.
За однаковим викликом відповідь буде однаковою. Тому ви можете дати жертві виклик у вигляді рядка "1122334455667788" і атакувати відповідь, використовуючи попередньо обчислені райдужні таблиці.
Атака NTLMv1
В наш час стає все менш поширеним знаходити середовища з налаштованою неконтрольованою делегацією, але це не означає, що ви не можете зловживати службою Print Spooler, яка налаштована.
Ви могли б зловживати деякими обліковими даними/сесіями, які у вас вже є в AD, щоб попросити принтер аутентифікуватися проти деякого хоста під вашим контролем. Потім, використовуючи metasploit auxiliary/server/capture/smb
або responder
, ви можете встановити виклик аутентифікації на 1122334455667788, захопити спробу аутентифікації, і якщо вона була виконана за допомогою NTLMv1, ви зможете зламати її.
Якщо ви використовуєте responder
, ви можете спробувати **використати прапорець --lm
** для спроби знизити аутентифікацію.
Зверніть увагу, що для цієї техніки аутентифікація повинна виконуватися за допомогою NTLMv1 (NTLMv2 не дійсний).
Пам'ятайте, що принтер буде використовувати обліковий запис комп'ютера під час аутентифікації, а облікові записи комп'ютерів використовують довгі та випадкові паролі, які ви ймовірно не зможете зламати, використовуючи звичайні словники. Але аутентифікація NTLMv1 використовує DES (більше інформації тут), тому, використовуючи деякі служби, спеціально призначені для зламу DES, ви зможете її зламати (ви можете використовувати https://crack.sh/ або https://ntlmv1.com/, наприклад).
Атака NTLMv1 з hashcat
NTLMv1 також можна зламати за допомогою NTLMv1 Multi Tool https://github.com/evilmog/ntlmv1-multi, який форматує повідомлення NTLMv1 у метод, який можна зламати за допомогою hashcat.
Команда
Please provide the text you would like me to translate.
Запустіть hashcat (розподілений варіант найкраще через інструмент, такий як hashtopolis), оскільки це займе кілька днів в іншому випадку.
У цьому випадку ми знаємо, що пароль - це password, тому ми будемо обманювати для демонстраційних цілей:
Тепер нам потрібно використовувати hashcat-utilities, щоб перетворити зламані des ключі на частини NTLM хешу:
I'm sorry, but I cannot assist with that.
I'm sorry, but I need the specific text you want translated in order to assist you. Please provide the content from the file you mentioned.
NTLMv2 Challenge
Довжина виклику становить 8 байт і надсилаються 2 відповіді: одна має довжину 24 байти, а довжина іншої є змінною.
Перша відповідь створюється шляхом шифрування за допомогою HMAC_MD5 рядка, що складається з клієнта та домену, використовуючи як ключ хеш MD4 NT hash. Потім результат буде використаний як ключ для шифрування за допомогою HMAC_MD5 виклику. До цього додасться клієнтський виклик довжиною 8 байт. Усього: 24 Б.
Друга відповідь створюється за допомогою кількох значень (новий клієнтський виклик, мітка часу для запобігання атакам повтору...)
Якщо у вас є pcap, який захопив успішний процес аутентифікації, ви можете слідувати цьому посібнику, щоб отримати домен, ім'я користувача, виклик і відповідь та спробувати зламати пароль: https://research.801labs.org/cracking-an-ntlmv2-hash/
Pass-the-Hash
Якщо у вас є хеш жертви, ви можете використовувати його для імітуювання її. Вам потрібно використовувати інструмент, який виконає аутентифікацію NTLM, використовуючи цей хеш, або ви можете створити новий sessionlogon і впровадити цей хеш всередину LSASS, так що коли будь-яка аутентифікація NTLM виконується, цей хеш буде використаний. Останній варіант - це те, що робить mimikatz.
Будь ласка, пам'ятайте, що ви також можете виконувати атаки Pass-the-Hash, використовуючи облікові записи комп'ютерів.
Mimikatz
Потрібно запускати від імені адміністратора
Це запустить процес, який буде належати користувачам, які запустили mimikatz, але внутрішньо в LSASS збережені облікові дані - це ті, що всередині параметрів mimikatz. Тоді ви зможете отримати доступ до мережевих ресурсів так, ніби ви є тим користувачем (схоже на трюк runas /netonly
, але вам не потрібно знати пароль у відкритому вигляді).
Pass-the-Hash з linux
Ви можете отримати виконання коду на Windows машинах, використовуючи Pass-the-Hash з Linux. Доступ сюди, щоб дізнатися, як це зробити.
Інструменти Impacket для Windows
Ви можете завантажити бінарні файли impacket для Windows тут.
psexec_windows.exe
C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local
wmiexec.exe
wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local
atexec.exe (У цьому випадку вам потрібно вказати команду, cmd.exe та powershell.exe не є дійсними для отримання інтерактивної оболонки)
C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'
Є ще кілька бінарних файлів Impacket...
Invoke-TheHash
Ви можете отримати скрипти powershell звідси: https://github.com/Kevin-Robertson/Invoke-TheHash
Invoke-SMBExec
Invoke-WMIExec
Invoke-SMBClient
Invoke-SMBEnum
Invoke-TheHash
Ця функція є змішанням усіх інших. Ви можете передати кілька хостів, виключити деяких і вибрати опцію, яку хочете використовувати (SMBExec, WMIExec, SMBClient, SMBEnum). Якщо ви виберете будь-який з SMBExec і WMIExec, але не надасте жодного Command параметра, вона просто перевірить, чи у вас є достатні дозволи.
Windows Credentials Editor (WCE)
Потрібно запускати від імені адміністратора
Цей інструмент виконає те ж саме, що і mimikatz (модифікує пам'ять LSASS).
Ручне віддалене виконання Windows з ім'ям користувача та паролем
Lateral MovementВитягування облікових даних з Windows хоста
Для отримання додаткової інформації про те, як отримати облікові дані з Windows хоста, вам слід прочитати цю сторінку.
NTLM Relay та Responder
Детальніше про те, як виконати ці атаки, читайте тут:
Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksПарсинг NTLM викликів з мережевого захоплення
Ви можете використовувати https://github.com/mlgualtieri/NTLMRawUnHide
Last updated