域渗透基础之NTLM认证协议

域渗透基础的两个认证协议ntlm和Kerberos协议是必须总结的~ 这篇简单总结下ntlm协议晚上写下kerberos

0x01 NTLM简介

NTLM使用在Windows NT和Windows 2000 Server（or later）工作组环境中（Kerberos用在域模式下）。在AD域环境中，如果需要认证Windows NT系统，也必须采用NTLM。较之Kerberos，基于NTLM的认证过程要简单很多。NTLM采用一种质询/应答（Challenge/Response）消息交换模式。

NTLM协议的认证，包括 NTLMv1 和 NTLMv2 两个版本。涉及到NTLM的认证全过程，以及NTLM 的 EPA（Extended Protection for Authentication）实现。

在本地登录Windows的情况下，操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证，操作系统中的密码存储在

%SystemRoot%\system32\config\sam

当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行比对，如果相同，证明认证成功。

这个SAM文件中保留了计算机本地所有用户的凭证信息，可以理解为是一个数据库。

Windows本身不保存明文密码，只保留密码的Hash。

ntlm认证大致流程:

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

关于NTLM Hash与NTLM

在Windows中，密码Hash目前称之为NTLM Hash，其中NTLM全称是：“NT LAN Manager”。

这个NTLM是一种网络认证协议，与NTLM Hash的关系就是：NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。

在本地认证的过程中，其实就是将用户输入的密码转换为NTLM Hash与SAM中的NTLM Hash进行比较。

NTLM Hash的产生

假设我的密码是admin，那么操作系统会将admin转换为十六进制，经过Unicode转换后，再调用MD4加密算法加密，这个加密结果的十六进制就是NTLM Hash

admin -> hex(16进制编码) = 61646d696e

61646d696e -> Unicode = 610064006d0069006e00

610064006d0069006e00 -> MD4 = 209c6174da490caeb422f3fa5a7ae634

首先，用户注销、重启、锁屏后，操作系统会让winlogon显示登录界面，也就是输入框，接收输入后，将密码交给lsass进程，这个进程中会存一份明文密码，将明文密码加密成NTLM Hash，对SAM数据库比较认证。

Windows Logon Process(即 winlogon.exe)，是Windows NT 用户登陆程序，用于管理用户登录和退出。
LSASS用于微软Windows系统的安全机制。它用于本地安全和登陆策略。

NTLM(V1/V2)的hash是存放在安全账户管理(SAM)数据库以及域控的NTDS.dit数据库中，获取该Hash值可以直接进行PtH攻击。
Net-NTLM(V1/V2)的hash值是基于用户的NT的hash值经过一定的算法产生的。

#NTLM-Hash

aad3b435b51404eeaad3b435b51404ee:e19ccf75ee54e06b06a5907af13cef42  前面是LMhash后面是NT的Hash

#Net-NTLM-Hash

admin::N46iSNekpT:08ca45b7d7ea58ee:88dcbe4446168966a153a0064958dac6:5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030

0x02 LM Hash && NTLM Hash加密算法

常见Hash算法：

（1）MD4

MD4(RFC 1320)是 MIT 的 Ronald L. Rivest 在 1990 年设计的，MD是 Message Digest的缩写。它适用在32位字长的处理器上用高速软件实现，它是基于 32 位操作数的位操作来实现的。

（2） MD5

MD5(RFC 1321)是 Rivest于1991年对MD4的改进版本。它仍以512位分组来输入，其输出是4个32位字的级联，与 MD4 相同。MD5比MD4来得复杂，并且速度较之要慢一点，但更安全，在抗分析和抗差分方面表现更好

（3）SHA1 及其他

SHA1是由NIST NSA设计为同DSA一起使用的，它对长度小于264的输入，产生长度为160bit的散列值，因此抗穷举(brute-force)性更好。SHA-1 设计时基于和MD4相同原理，并且模仿了该算法。

Windows系统下的hash密码格式
Windows系统下的hash密码格式为：用户名称:SID:LM-HASH值:NT-HASH值，例如：

Administrator::C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::

表示

用户名称为：Administrator

SID为：500

LM-HASH值为：C8825DB10F2590EAAAD3B435B51404EE
NT-HASH值为：683020925C5D8569C23AA724774CE6CC

(1)Windows下LM Hash值生成原理

假设明文口令是“Welcome”，首先全部转换成大写“WELCOME”，再做将口令字符串大写转后后的字符串变换成二进制串： “WELCOME” -> 57454C434F4D4500000000000000

技巧：可以将明文口令复制到UltraEdit编辑器中使用二进制方式查看即可获取口令的二进制串。

说明：如果明文口令经过大写变换后的二进制字符串不足14字节，则需要在其后添加0x00补足14字节。然后切割成两组7字节的数据，分别经str_to_key（）函数处理得到两组8字节数据：

57454C434F4D45 -str_to_key()-> 56A25288347A348A

 -str_to_key()->

这两组8字节数据将做为DESKEY对魔术字符串“KGS!@#$%”进行标准DES加密

    "KGS!@#$%" -> 4B47532140232425

56A25288347A348A -对4B47532140232425进行标准DES加密-> C23413A8A1E7665F

0000000000000000 -对4B47532140232425进行标准DES加密-> AAD3B435B51404EE

将加密后的这两组数据简单拼接，就得到了最后的LM Hash

LM Hash: C23413A8A1E7665FAAD3B435B51404EE

如果不足7位

由于我们的密码不超过7字节，所以后面的一半是固定的:
AA-D3-B4-35-B5-14-04-EE

并且根据LM Hash特征，也能够判断用户的密码是否是大于等于7位。

PS:可以看到LM Hash加密是对固定字符串“KGS!@#$%”进行DES加密(对称加密)，这也是可以破解的本质原因。

(2) Windows下NTLM Hash生成原理

假设明文口令是“123456”，首先转换成Unicode字符串，与LM Hash算法不同，这次不需要添加0x00补足14字节

      "" ->

从ASCII串转换成Unicode串时，使用little-endian序，微软在设计整个SMB协议时就没考虑过big-endian序，ntoh*()、hton*()函数不宜用在SMB报文解码中。0x80之前的标准ASCII码转换成Unicode码，就是简单地从0x??变成0x00??。此类标准ASCII串按little-endian序转换成Unicode串，就是简单地在原有每个字节之后添加0x00。对所获取的Unicode串进行标准MD4单向哈希，无论数据源有多少字节，MD4固定产生128-bit的哈希值，

16字节310032003300340035003600 -进行标准MD4单向哈希-> 32ED87BDB5FDC5E9CBA88547376818D4

就得到了最后的NTLM Hash

NTLM Hash: 32ED87BDB5FDC5E9CBA88547376818D4

与LM Hash算法相比，明文口令大小写敏感，无法根据NTLM Hash判断原始明文口令是否小于8字节，摆脱了魔术字符串"KGS!@#$%"。MD4是真正的单向哈希函数，穷举作为数据源出现的明文，难度较大。

NTLM V2协议

NTLM v1与NTLM v2最显著的区别就是Challenge与加密算法不同，共同点就是加密的原料都是NTLM Hash。

下面细说一下有什么不同:

Challage:NTLM v1的Challenge有8位，NTLM v2的Challenge为16位。
Net-NTLM Hash:NTLM v1的主要加密算法是DES，NTLM v2的主要加密算法是HMAC-MD5。

0x03 NTLM详细流程

NTLM 协议

NTLM是一种网络认证协议，它是基于挑战（Chalenge）/响应（Response）认证机制的一种认证模式。

这个协议只支持Windows

Chalenge/Response

NTLM协议的认证过程分为三步：

协商
质询
验证

协商：主要用于确认双方协议版本

质询：就是挑战（Chalenge）/响应（Response）认证机制起作用的范畴。

验证：验证主要是在质询完成后，验证结果，是认证的最后一步。

质询的完整过程：

1.客户端向服务器端发送用户信息(用户名)请求
2.服务器接受到请求，判断本地账户列表是否有用户名，如果有，生成一个16位的随机数，被称之为“Challenge”，使用登录用户名对应的NTLM Hash加密Challenge(16位随机字符)，生成Challenge1。生成一个Net-NTLM Hash存在内存中，同时，生成Challenge1后，将Challenge(16位随机字符)发送给客户端。
3.客户端接受到Challenge后，使用将要登录到账户对应的NTLM Hash加密Challenge生成Response，然后将Response发送至服务器端。

其中，经过NTLM Hash加密Challenge的结果在网络协议中称之为Net NTLM Hash。

验证：服务器端收到客户端的Response后，比对Chanllenge1与Response是否相等，若相等，则认证通过。

注意:

1.Chanllenge是Server产生的一个16字节的随机数，每次认证都不同

2.Response的表现形式是Net-NTLM Hash，它是由客户端提供的密码Hash加密Server返回的Chanllenge产生的结果。

NTLM 认证消息的结构.

NTLM的消息很简单，只有三种，协商、质询、验证。它们都有相似的结构。认证消息都是二进制的，但是通常我们见到的都是它们的Base64的编码格式。类似这样：

TlRMTVNTUAADAAAAGAAYAHAAAACSAJIAiAAAAAAAAAAAAAAAGgAaAEgAAAAOAA4AYgAAAAAAAAAAAAAABYKIogAAAAAAAAAPYQBkAG0AaQBuAGkAcwB0AHIAYQB0AG8AcgBOAEUASQBMAC0AUABDALZLpLeO2n6Sx1s9JjrAfQOqf2QsmfTeP9cjC86k7BsjZEsKzjOoYBcBAQAAAAAAAEDGE3IuR88Bqn9kLJn03j8AAAAAAgAEAEsAQQABAAoARgBTAFcARQBCAAQADABrAGEALgBjAG8AbQADABgAZgBzAHcAZQBiAC4AawBhAC4AYwBvAG0ABQAMAGsAYQAuAGMAbwBtAAcACAC0gtdyLkfPAQAAAAAAAAAA

消息头

4字节的int值，作为消息的Flags

前面首先是 8个字节+4个字节的协议头。

然后是四个字节的Flags。这个Flags中表达了客户端想要使用的NTLM的认证服务，以及客户端自己所支持的服务。

然后，是若干个可选的security buffer。

security buffer：

参考文档：

http://blog.byneil.com/wp-content/uploads/2014/03/MS-NLMP-NT-LAN-Manager-NTLM-Authentication-Protocol-Specification-v20110610-2.pdf

MS-NLMP-NT-LAN-Manager-NTLM-Authentication-Protocol-Specification

The NTLM Authentication Protocol and Security Support Provider

freebsd-freebsd 源码实现

Mozilla Firefox source code Developer Guide – MDN-firefox 源码

Heimdal NTLM 开源工程

samba.org-pub-unpacked-samba_3_current-librpc-idl-ntlmssp.idl