.NTLMハッシュとネットNTLMハッシュ
ハッシュのNTLM(V1 / V2)は、ハッシュ値に制御さNTDS.DITセキュリティアカウントマネージャー(SAM)データベースとデータベースフィールドを直接取得することができるに位置しているハッシュ渡し攻撃
ハッシュ値のネットNTLM(V1 / V2)をネットワーク認証のためのユーザー・パスワードのNTLMハッシュに基づいて計算され、次のステップ:
クライアントがサーバに要求を送信し、ログイン要求は、平文のユーザー名が含まれています。Serverは、事前のログインユーザー名と対応するパスワードのハッシュに保存されます
要求を受信した後、サーバー、明示クライアントに返す(チャレンジがチャレンジコードで呼ばれる)は、16ビットの乱数を生成します。チャレンジは、保存されたログインユーザーのパスワードハッシュを暗号化使用して、Challenge1を取得する
チャレンジを受けた後、チャレンジの暗号化のために、ユーザーのパスワードハッシュを使用してログインし、レスポンスへのアクセスChallenge2(この結果はレスポンスと呼ばれている)、(ネットNTLMハッシュ)に送られますサーバは
、サーバは、クライアント暗号化されたレスポンスを受信して、比較Challenge1応答は、同じ場合は、認証が成功しています。
PS:
1. NTLM認証では、NTLM応答がNTLM V1、はNTLMv2、NTLMセッションV2の3つのプロトコル、異なるプロトコルおよび暗号化アルゴリズムをチャレンジ異なるフォーマットを分割するので、ネットNTLMハッシュの異なるプロトコルが存在し、すなわち、ネットNTLM v1のハッシュ、ネットNTLM v2のハッシュ
症状2.ResponseはネットNTLMハッシュ、それはChanllengeが生成され返され、クライアントによって提供されたハッシュパスワード暗号化サーバーの結果です。