解读windows认证

0x00 前言

dll劫持的近期忙，没时间写，先给大家写个windows认证的水文。

0x01 windows认证协议

windows上的认证大致分为本地认证，ntlm协议，和Kerberos协议。

（1）本地认证

我们先来看到本地认证，本地认证是

Windows的本地认证是由 winlogon.exe 接受用户输入的密码 然后去lsass.exe 进程里面去取值，lsass会向sam文件里面读取hash密码 。如果hash值相对应那么就认证成功。这也是我们的lsass进程的内存中为什么会有hash的缘故，也是我们在抓取hash值时候都转存lsass进程的原因。

这里思考一个问题，为什么要有lsass这个进程，为什么winlogon不能直接从sam文件里面去取hash来认证。

（2）NTLM  hash 与NTLM 协议

实际上NTLM hash的NTLM协议是2个东西，NTLM HASH 是一串经过特殊加密的hash值，而ntlm协议是一种网络认证协议。但是他们有着密切的关系，如果有了ntlm hash值可以直接使用pass the hash登录该机器。

NTLM  hash的加密过程：

1.将明文转换成hex

2.转换hex的值在Unicode编码

3.unicode编码的值再md4加密

然后得到该用户的ntlm hash值。

NTLM 协议：

NTLM是一种网络认证协议，它是基于挑战（Challenge）/响应（Response）认证机制的一种认证模式。

NTLM协议的认证过程分为三步：

第一步：协商

第二步：质询

第三步：验证

第一步质询： 先发起请求，判断对方版本是ntlm v1还是v2 。

第二步质询：

就是挑战（Chalenge）/响应（Response） ，客户端向服务端发起一个用户名，服务器收到请求，生成一个（ntlmV1是8位数的challenge）16位数的 随机数 被称为challenge ，使用登陆名字对应的NTLM hash值来加密challenge。 同时会将challenge发送给客户端 客户端进行同样的用户的ntlm hash来加密 。

第三步验证：这时候就进行了第三步，2个加密后的challeng 进行比对 如果一样那么就验证通过。

(3)kerberos协议

简短洁说：客户端向服务端发起请求，如果请求的用户在ad内 as为client生成tgt

用户拿着tgt对kdc发起第二次交互，kdc会识别 我们的tgt到底有没有权限访问server，如果有那么就会分发一个ticket 也就是票据这步由tgs完成 ，然后拿着ticket 去请求server。

客户端要和dc建立2次会话才会向服务端发起通讯

详细具体的认证步骤，想了解的话可以去看官方文档。

. KDC
全称：key distributed center
作用：整个安全认证过程的票据生成管理服务，其中包含两个服务，AS和TGS
. AS
全称：authentication service
作用：为client生成TGT的服务
. TGS
全称：ticket granting service
作用：为client生成某个服务的ticket
. AD
全称：account database
作用：存储所有client的白名单，只有存在于白名单的client才能顺利申请到TGT
. TGT
全称：ticket-granting ticket
作用：用于获取ticket的票据
.client
想访问某个server的客户端
. server
提供某种业务的服务

0x02   结尾

刚刚说到的lsass存在的意义，给大家来简单说说，lsass.exe是一个系统重要进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。如果结束该进程，会出现不可知的错误。

如果想了解内网渗透的师傅们，还需要熟悉windows认证，记得当时面试某xxx，和团队小伙伴每天背windwos认证协议，机制。