NTLM
NTLM
Temel Bilgiler
Windows XP ve Server 2003'ün kullanıldığı ortamlarda, LM (Lan Yöneticisi) hash'leri kullanılır, ancak bunların kolayca ele geçirilebileceği genel olarak kabul edilir. Belirli bir LM hash'i, AAD3B435B51404EEAAD3B435B51404EE
, LM'nin kullanılmadığı bir senaryoyu temsil eder, boş bir dize için hash'i gösterir.
Varsayılan olarak, Kerberos kimlik doğrulama protokolü kullanılan başlıca yöntemdir. NTLM (NT LAN Yöneticisi), belirli durumlarda devreye girer: Etkin Dizin yokluğu, alanın mevcut olmaması, Kerberos'un yanlış yapılandırma nedeniyle çalışmaması veya bağlantılar geçerli bir ana bilgisayar adı yerine bir IP adresi kullanılarak denendiğinde.
Ağ paketlerinde "NTLMSSP" başlığının bulunması, bir NTLM kimlik doğrulama sürecini işaret eder.
Kimlik doğrulama protokolleri - LM, NTLMv1 ve NTLMv2 - belirli bir DLL tarafından desteklenir ve bu DLL %windir%\Windows\System32\msv1\_0.dll
konumundadır.
Ana Noktalar:
LM hash'leri zayıftır ve boş bir LM hash'i (
AAD3B435B51404EEAAD3B435B51404EE
), kullanılmadığını gösterir.Kerberos varsayılan kimlik doğrulama yöntemidir, NTLM yalnızca belirli koşullar altında kullanılır.
NTLM kimlik doğrulama paketleri, "NTLMSSP" başlığıyla tanımlanabilir.
Sistem dosyası
msv1\_0.dll
, LM, NTLMv1 ve NTLMv2 protokollerini destekler.
LM, NTLMv1 ve NTLMv2
Hangi protokolün kullanılacağını kontrol edebilir ve yapılandırabilirsiniz:
GUI
secpol.msc dosyasını çalıştırın -> Yerel politikalar -> Güvenlik Seçenekleri -> Ağ Güvenliği: LAN Yöneticisi kimlik doğrulama seviyesi. 6 seviye bulunmaktadır (0'dan 5'e).
Registry
Bu seviyeyi 5 olarak ayarlayacaktır:
Mümkün değerler:
Temel NTLM Alan kimlik doğrulama Şeması
Kullanıcı, kimlik bilgilerini girer
İstemci makine, alan adını ve kullanıcı adını göndererek bir kimlik doğrulama isteği gönderir
Sunucu, zorluk gönderir
İstemci, şifrenin hash'ini anahtar olarak kullanarak zorluğu şifreler ve yanıt olarak gönderir
Sunucu, alan adını, kullanıcı adını, zorluğu ve yanıtı içeren bilgileri Alan Denetleyicisine gönderir. Eğer yapılandırılmış bir Etkin Dizin yoksa veya alan adı sunucunun adıysa, kimlik bilgileri yerel olarak kontrol edilir.
Alan Denetleyicisi, her şeyin doğru olup olmadığını kontrol eder ve bilgileri sunucuya gönderir
Sunucu ve Alan Denetleyicisi, NTDS.DIT db içinde sunucunun şifresini bildiği için Netlogon sunucusu aracılığıyla bir Güvenli Kanal oluşturabilir.
Yerel NTLM Kimlik Doğrulama Şeması
Kimlik doğrulama, öncekiyle aynıdır ancak sunucu, kimlik doğrulamaya çalışan kullanıcının hash'ini bilir. Bu nedenle, Alan Denetleyicisine sormak yerine, sunucu kendisi kontrol eder kullanıcının kimlik doğrulayıp doğrulayamayacağını.
NTLMv1 Zorluk
Zorluk uzunluğu 8 bayt ve yanıt 24 bayt uzunluğundadır.
Hash NT (16 bayt), her biri 7 bayt olan 3 parçaya ayrılır (7B + 7B + (2B+0x00*5)): son parça sıfırlarla doldurulur. Daha sonra, zorluk her bir parça ile ayrı ayrı şifrelenir ve sonuçta elde edilen şifrelenmiş baytlar birleştirilir. Toplam: 8B + 8B + 8B = 24 Bayt.
Sorunlar:
Rastgelelik eksikliği
3 parça ayrı ayrı saldırıya uğrayabilir ve NT hash'i bulunabilir
DES çözülebilir
anahtar her zaman 5 sıfırdan oluşur.
Aynı zorluk verildiğinde, yanıtın aynı olacaktır. Bu nedenle, kurbanı 1122334455667788 dizesiyle zorlamak ve yanıtı önceden hesaplanmış gökkuşağı tabloları kullanarak saldırmak mümkündür.
NTLMv1 saldırısı
Günümüzde, Ayarlanmamış Delege yapılandırılmış ortamlar bulmak daha az yaygın hale gelmektedir, ancak bu, yapılandırılmış bir Yazıcı Kuyruğu hizmetini kötüye kullanamayacağınız anlamına gelmez.
Zaten AD'de sahip olduğunuz bazı kimlik bilgilerini/oturumları kötüye kullanarak, Yazıcı Kuyruğunun, kontrolünüz altındaki bir ana bilgisayara karşı kimlik doğrulamasını yapmasını isteyebilirsiniz. Ardından, metasploit auxiliary/server/capture/smb
veya responder
kullanarak kimlik doğrulama zorluğunu 1122334455667788 olarak ayarlayabilir, kimlik doğrulama girişimini yakalayabilir ve eğer NTLMv1 kullanılarak yapıldıysa çözebilirsiniz.
Eğer responder
kullanıyorsanız, kimlik doğrulamasını düşürmek için --lm
bayrağını kullanmayı deneyebilirsiniz.
Bu teknik için kimlik doğrulamanın NTLMv1 kullanılarak yapılması gerektiğini unutmayın (NTLMv2 geçerli değildir).
Unutmayın ki yazıcı, kimlik doğrulaması sırasında bilgisayar hesabını kullanacak ve bilgisayar hesapları uzun ve rastgele şifreler kullanır ki bunları genel sözlüklerle muhtemelen çözemeyeceksiniz. Ancak NTLMv1 kimlik doğrulaması DES kullanır (daha fazla bilgi için buraya bakın), bu nedenle DES'i çözmeye özel olarak adanmış bazı hizmetler kullanarak bunu çözebilirsiniz (örneğin https://crack.sh/ kullanabilirsiniz).
hashcat ile NTLMv1 saldırısı
NTLMv1 ayrıca NTLMv1 Çoklu Araç https://github.com/evilmog/ntlmv1-multi ile kırılabilir, bu araç NTLMv1 ile biçimlendirilmiş mesajları hashcat ile kırılabilir bir yöntemle oluşturur.
Komut
NTLM
NTLM Hash Dumping
NTLM hash dumping is a common technique used by attackers to obtain password hashes from Windows systems. Attackers can then use these hashes in pass-the-hash attacks to move laterally within a network.
Mimikatz
Mimikatz is a powerful tool that can be used to dump NTLM hashes from memory. Attackers with administrative privileges can use Mimikatz to extract password hashes from the LSASS process.
Procdump
Procdump is another tool that can be used to dump the memory of specific processes. Attackers can use Procdump to dump the LSASS process memory and then extract NTLM hashes using tools like Mimikatz.
NTLM Hash Dumping
Introduction
NTLM hash dumping is a common technique used by attackers to obtain password hashes from Windows systems. These hashes can then be cracked offline to recover the original passwords, allowing attackers to gain unauthorized access to systems.
How it Works
Dumping NTLM Hashes: Attackers can dump NTLM hashes from Windows systems using various tools and techniques, such as Mimikatz or Windows Credential Editor (WCE).
Cracking the Hashes: Once the hashes are obtained, attackers can use tools like Hashcat or John the Ripper to crack the hashes and recover the original passwords.
Pass-the-Hash Attacks: Attackers can also use the cracked hashes in pass-the-hash attacks to authenticate to other systems using the stolen credentials.
Mitigation
To mitigate the risk of NTLM hash dumping, organizations can implement the following security measures:
Disable NTLM: Disable the use of NTLM authentication in favor of more secure protocols like Kerberos.
Enforce Complex Passwords: Require users to use complex and unique passwords to make it harder to crack the hashes.
Monitor for Suspicious Activity: Monitor systems for any suspicious activity that may indicate an ongoing NTLM hash dumping attack.
By following these mitigation strategies, organizations can reduce the risk of NTLM hash dumping and better protect their systems from unauthorized access.
Çalıştır hashcat'i (dağıtılmış olarak hashtopolis gibi bir araçla en iyisidir) aksi takdirde bunun için birkaç gün sürecektir.
Bu durumda şifrenin "password" olduğunu biliyoruz, bu yüzden demo amaçlı hile yapacağız:
Şimdi, kırılan des anahtarlarını NTLM hash'in parçalarına dönüştürmek için hashcat-utilities kullanmamız gerekiyor:
Sonunda son kısım:
NTLM Reflection Attack
Overview
NTLM reflection attack is a technique used to relay NTLM authentication traffic from a target server to a victim client, in order to obtain the victim's NTLM hash. This attack can be used in scenarios where the target server is vulnerable to NTLM relay attacks.
Usage
Set up a rogue server to capture NTLM authentication traffic.
Send a phishing email or perform another attack to make the victim's machine connect to the rogue server.
Relay the NTLM authentication traffic from the target server to the victim's machine.
Capture the victim's NTLM hash for further exploitation.
Mitigation
To prevent NTLM reflection attacks, it is recommended to:
Implement SMB signing to prevent relay attacks.
Use LDAP signing and channel binding.
Disable NTLM authentication in favor of more secure protocols like Kerberos.
NTLMv2 Challenge
Zorluk uzunluğu 8 bayttır ve 2 yanıt gönderilir: Bir tanesi 24 bayt uzunluğundadır ve diğerinin uzunluğu değişkendir.
İlk yanıt, istemci ve etki alanı tarafından oluşturulan diziyi kullanarak HMAC_MD5 şifreleme yöntemiyle oluşturulur ve anahtar olarak NT hash'in MD4'ü kullanılır. Daha sonra, sonuç, zorluk'u şifrelemek için anahtar olarak kullanılacaktır. Buna, 8 baytlık bir istemci zorluğu eklenir. Toplam: 24 B.
İkinci yanıt, birkaç değer kullanılarak oluşturulur (yeni bir istemci zorlaması, tekrar saldırılarını önlemek için bir zaman damgası...).
Eğer başarılı bir kimlik doğrulama işlemini yakalayan bir pcap'iniz varsa, etki alanını, kullanıcı adını, zorluğu ve yanıtı almak ve şifreyi kırmak için bu kılavuzu takip edebilirsiniz: https://research.801labs.org/cracking-an-ntlmv2-hash/
Pass-the-Hash
Kurbanın hash'ine sahip olduktan sonra, onu taklit etmek için kullanabilirsiniz. Bu hash'ı kullanan NTLM kimlik doğrulamasını gerçekleştirecek bir araç kullanmanız gerekmektedir, veya yeni bir oturum açma oluşturabilir ve bu hash'i LSASS içine enjekte edebilirsiniz, böylece herhangi bir NTLM kimlik doğrulaması gerçekleştirildiğinde, bu hash kullanılacaktır. Son seçenek mimikatz'in yaptığı şeydir.
Lütfen, Parola-the-Hash saldırılarını Bilgisayar hesapları kullanarak da gerçekleştirebileceğinizi unutmayın.
Mimikatz
Yönetici olarak çalıştırılması gerekmektedir
Bu, mimikatz başlatan kullanıcıların süreçlerini başlatacak ve LSASS içinde kaydedilen kimlik bilgileri, mimikatz parametrelerinin içindekiler olacaktır. Daha sonra, o kullanıcıymış gibi ağ kaynaklarına erişebilirsiniz (runas /netonly
hilesine benzer ancak düz metin şifresini bilmenize gerek yok).
Linux üzerinden Hash Taşıma
Linux'ten Pass-the-Hash kullanarak Windows makinelerinde kod yürütme elde edebilirsiniz. Buradan nasıl yapılacağını öğrenmek için tıklayın.
Impacket Windows derlenmiş araçları
Windows için impacket ikili dosyalarını buradan indirebilirsiniz.
psexec_windows.exe
C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local
wmiexec.exe
wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local
atexec.exe (Bu durumda bir komut belirtmeniz gerekmektedir, cmd.exe ve powershell.exe etkileşimli bir kabuk elde etmek için geçerli değildir)
C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'
Daha fazla Impacket ikili dosyası bulunmaktadır...
Invoke-TheHash
Powershell betiklerini buradan alabilirsiniz: https://github.com/Kevin-Robertson/Invoke-TheHash
Invoke-SMBExec
Invoke-WMIExec
Invoke-WMIExec
Invoke-SMBClient
Invoke-SMBClient
Invoke-SMBEnum
Invoke-SMBEnum
Invoke-TheHash
Bu işlev diğerlerinin bir karışımıdır. Birkaç ana bilgisayar geçebilir, bazılarını hariç tutabilir ve kullanmak istediğiniz seçeneği seçebilirsiniz (SMBExec, WMIExec, SMBClient, SMBEnum). SMBExec ve WMIExec'ten herhangi birini seçerseniz ancak Komut parametresi vermezseniz, yalnızca yeterli izinlere sahip olup olmadığınızı kontrol eder.
Windows Kimlik Bilgileri Düzenleyici (WCE)
Yönetici olarak çalıştırılması gerekmektedir
Bu araç mimikatz ile aynı işlemi yapacaktır (LSASS belleğini değiştirme).
Kullanıcı adı ve şifre ile manuel Windows uzaktan yürütme
pageLateral MovementBir Windows Ana Bilgisayarından Kimlik Bilgilerinin Çıkarılması
Daha fazla bilgi için bir Windows ana bilgisayarından kimlik bilgilerini nasıl elde edebileceğiniz hakkında bu sayfayı okumalısınız.
NTLM Aktarımı ve Yanıtlayıcı
Bu saldırıları nasıl gerçekleştireceğiniz hakkında daha detaylı kılavuzu okumak için:
pageSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksBir ağ yakalamasından NTLM meydan okumalarını ayrıştırma
Bunu kullanabilirsiniz https://github.com/mlgualtieri/NTLMRawUnHide
Last updated