ntlm 协议在 windows nt 和 windows 2000 server(或更高版本)的工作组环境中使用(kerberos 用于域模式下)。
在 AD 域环境中,若需要验证 Windows NT 系统,必须使用 NTLM。与 Kerberos 相比,NTLM 认证过程更为简单。NTLM 采用挑战/响应(Challenge/Response)消息交换模式,以下是 NTLM 的认证流程:
NTLM 认证协议可用于多种协议中,例如 HTTP、SMB 等。以下通过 HTTP 协议来说明其具体认证流程:
首先,我们需要选择一个目标,也可以自己搭建一个基于域的 401 认证服务。我这里选择了一个实际的环境进行测试,通常 Exchange 邮件服务器会有 EWS 接口,我们可以随意选择一个进行测试。
在 Bing 上使用语法搜索:
找一个使用 Exchange 搭建的邮件服务器,并且支持 HTTP,因为转包查看时,HTTPS 经过加密的包不太容易分析。我找到了一个:
启动 Wireshark,然后访问上述链接,随机输入账号和密码,点击登录后,会得到一些 HTTP 数据包,如图:
验证流程分为三步:第一步,获取服务器的基本信息,例如认证协议、服务器版本,如图:
第二步,获取服务器返回给客户端的挑战值,如图:
这个值在后面的数据校验中会使用,这里先不详细介绍。
第三步,根据前面获取的数据,组合后提交给服务器,在服务器端进行验证。
这里的 NTProofStr 是一个用于数据验签的哈希值,确保前面获取的挑战和后面的数据是完整且未经修改的。
我们将上图中 NTLMv2 的响应值复制并处理如下:
最前面的 32 个字符就是验证数据完整性的哈希值,也就是 NTProofStr 的值,后面的数据中包含了一些服务器的信息,如图:
这些数据是第三步的请求阶段,即客户端提交给服务器的数据,服务器将使用这些数据进行验证,判断是否通过。
验签哈希如何产生?从上面我们看不到账号密码信息在哪里发挥作用,下面我们来看看具体账号密码在哪里被使用,以及在哪里发挥作用。
在内网渗透时,我们经常会捕获本地密码,本地存储的哈希就是用户密码经过一系列加密后的结果,具体加密方式如下:
函数解释:hex 用于将字符串转换为十六进制值、unicode 用于将字符串转换为双字节字符串、md4 为 md4 哈希。
轻松鲨
与AI连续对话聊天提问,多场景50+文案写作模板,AI智能生成思维导图
32 查看详情
以下是用 Python 编写的关键函数代码示例:
hex 函数:
def str_to_hex(s): return ' '.join([hex(ord(c)).replace('0x', '') for c in s])
转双字节函数:
def hex_to_unicode(hex_str): hex_str_ = hex_str.replace(" ","00")+"00" return hex_str_
md4 哈希函数:
from Crypto.Hash import MD4def str_to_md4(str_): m = MD4.new() m.update(str_) return m.hexdigest()
仅有密码是不够的,如何将用户名和域信息用上呢?这里涉及到一个 NTLMv2 HASH,具体算法如下:
关键函数:upper 用于将字符串全部转换为大写字母、md5 用于将 NTLM 的哈希作为盐,对用户名和域组合的信息进行 md5 哈希。
md5 哈希函数:
import hmacimport hashlibdef str_to_hmac_md5(passwd_,salt_): h_md5 = hmac.new(salt_, passwd_, hashlib.md5).hexdigest() return h_md5
从上面的过程来看,最后得到的 NTLMv2 HASH 包含了账号、密码和域的信息,如果任何一个因素有问题,整个验证就不会成功,那么这个哈希在后面如何使用呢?
服务器如何验证客户端提交的信息?在最后一步,客户端提交的信息包括:
签名哈希 NTProofStr 用于验证数据完整性,数值为:c9ce34e95466b7e956dd63da0b17e2e8
还有一串数据,在上面已经提供,前面的 32 位字符串就是上面的签名哈希,去掉之后就是服务器相关的数据,提取出来如下:
在之前第二步时,获得了一个挑战值: e8fd1257ab09ae57
到这里,所有需要的数据都有了,那么这些数据之间有什么关系呢?主要是签名的获取算法,公式如下:
理解起来也很简单,就是将第二步的挑战值和服务器的数据连接起来,使用包含账号密码域信息的哈希作为盐进行 md5 哈希后的结果就是签名值,我们用一个小巧的计算器来计算一下:
以上就是轻松理解 NTLM 协议工作流程的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/441960.html
微信扫一扫 
支付宝扫一扫 
