歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Windows內網協議學習NTLM篇之Net-NTLM利用

來源:本站整理 作者:佚名 時間:2019-12-02 TAG: 我要投稿

0x00 前言
在上一篇文章Windows內網協議學習NTLM篇之發起NTLM請求里面,講了12種發起NTLM請求的方式。這篇文章接著上文,主要講解拿到NTLM 請求之后的進一步利用。有Net-NTLM Hash的破解(v1 和 v2)以及Relay到支持NTLM SSP的協議,事實上,只要是支持NTLM SSP的協議,都可以Relay過去,本文主要講的是幾種比較常遇到,且能達到命令執行效果的,SMB,EWS,LDAP。
 
0x01 Net-NTLM Hash的破解
1. Net-NTLM v1 的破解
先上結論。只要獲取到Net-NTLM v1,都能破解為NTLM hash。與密碼強度無關。
具體操作如下。
修改Responder.conf里面的Challenge為1122334455667788(使用SpiderLabs版本的 話默認是1122334455667788,但該版本已經停止更新了,建議使用lgandx版本,這一版本默認為Random,需要修改)

將type2里面的NTLMSSPNEGOTIATEEXTENDED_SESSIONSECURITY位置0。
如果知道發來的請求一定是SMB 協議的話,Responder里面加上–lm參數即可,

其他協議就得去找改協議發送type2 處的代碼,修改NegoFlags位。
比如Http協議的話,需要修改packets.py里面的NTLM_Challenge類。
原來是NegoFlags的值是\x05\x02\x89\xa2,改成\x05\x02\x81\xa2


然后獲取到Net-NTLM v1。再使用ntlmv1-multi里面的ntlmv1.py轉換.

獲取到Net-NTLM v1是win10::WIN10-1:F1586DA184365E9431C22EF206F5A2C918659E1B1FD7F64D:F1586DA184365E9431C22EF206F5A2C918659E1B1FD7F64D:1122334455667788

轉化完的格式就是NTHASH:F1586DA184365E9431C22EF206F5A2C918659E1B1FD7F64D
再將轉化完的格式用crack.sh破解即可。


 
下面簡要探究下原理,如果沒有興趣的可以直接跳過?聪乱恍」。
之前在NTLM基礎介紹里面有簡單介紹了下Net-NTLM v1的加密方式
將 16字節的NTLM hash空填充為21個字節,然后分成三組,每組7字節,作為3DES加密算法的三組密鑰,加密Server發來的Challenge。 將這三個密文值連接起來得到response。
但是在實踐中發現,加密方式的表述是有點問題的,或者說是不完整的。上面的只是Net-NTLM v1的一種加密方式,Net-NTLM v1還有另外一種加密方式。我們下面來探討下這兩種加密方式以及利用
(1)加密方式1
就是前面提到的那種。
將 16字節的NTLM hash空填充為21個字節,然后分成三組,每組7字節
將三組(每組7字節)經過運算后作為DES加密算法的密鑰
運算的細節是每組七個字節再轉化為8小組,每個小組7個比特位。然后7個比特位進行奇偶校驗后算出第8個比特位,剛好是1個字節,8個小組,每小組一個字節,湊成8個字節的密鑰。
加密Server Challenge
將這三個密文值連接起來得到response。
在Responder如果想獲取到這種加密方式的話,要加上參數–lm(僅限于smb 協議)

那這種加密方式存在什么問題呢。
總共三組,每組8個字節作為key,加密Server Challenge獲取response。
每組可以分開計算,已知加密內容和加密后的密文算key。使用des算法,key是八個字節。
我們控制Server Challenge為1122334455667788,然后建立從key到response的彩虹表。就可以在知道response的情況下獲取key。所幸crack.sh這個網站已經幫我們弄好了,在Challenge為1122334455667788的情況下。一分鐘之內就能獲取ntlm hash,而且是免費的。這也是我們為啥要把Challenge設置為1122334455667788,而不是隨機。
具體操作是

使用ntlmv1-multi里面的ntlmv1.py轉換.然后復制NTHASH:E0F8C5B5E45247B4175698B99DBB5557CCD9241EA5A55CFB到crack.sh破解,填上郵箱,等到一分鐘左右就能收到ntlm hash了。
(2)加密方式2
跟第一種加密方式基本一樣。最本質的區別就在于,第一種加密方式的加密內容是Server Challenge。而這種加密方式是拼接8字節Server Challenge和8字節Client Challenge后,求其MD5,然后取MD5值的前8字節做為加密內容。
我們可以控制Server Challenge為固定的值,但是沒法控制Client Challenge的值。也就是說我們沒法控制加密的內容為固定的值。

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 吉林快三什么时候放假 股票分析专业网站 安徽十一选五 加拿大快乐8预测网 甘肃11选五开奖结果 陕西十一选五任五走势图 幸运农场走势图 极速飞艇APP 下载 场外配资合同是什么 安徽快三中奖规则和奖金