网络认证
网络认证概述
网络认证:Windows网络认证是指在Windows操作系统中进行网络通信和资源访问时,验证用户身份和授权权限的过程。它确保只有经过身份验证的用户能够访问网络资源,并根据其权限级别进行授权操作。
网络认证有哪些?
1.用户名和密码认证:这是最常见的认证方式,用户需要提供有效的用户名和密码,以验证其身份。这种认证方式适用于本地计算机账户或域账户。
2.Kerberos认证:Kerberos是一种网络身份验证协议,在Windows域环境中广泛使用。它通过使用票据和票据授予票证(TGT)来验证用户身份,并生成会话密钥用于加密通信。
3.NTLM认证:NTLM(NT LAN Manager)是一种早期的Windows网络认证协议,它使用基于挑战-响应的方式进 行身份验证。主要用于旧版 Windows 系统或与非 Windows 系统交互的场景
4.密钥身份认证:通过预先共享的密钥进行身份验证,适合特定场景或应用程序,例如自动化任务或脚本访问资源。
5.远程桌面认证(Remote Desktop Authentication):远程桌面是一种远程访问Windows计算机的功能。在远程桌面连接时,用户需要提供目标计算机的凭据进行认证,以验证身份并获得远程访问权限。
NTLM协议
在平时的测试中,经常会碰到处于工作组的计算机,主机A想要访问主机B上的资源,就要向主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允许主机A进行相应的访问。
NTLM(NT LAN Manager)认证是一种早期的Windows网络身份验证协议。它在Windows系统中用于验证用户的身份,并提供对网络资源的访问控制。
NTLM 协议是一种基于挑战(Challenge)/响应(Response)认证机制
NTLM挑战响应协议认证机制
NTLM 协议挑战Challenge)/响应(Response)认证机制大体如下:
1、建立连接并发起身份验证请求
- 客户端向服务器发起身份验证请求。
- 服务器响应表示需要验证身份,并发回一个随机生成的 挑战字符串(Challenge)。
2、客户端生成响应
- 客户端使用用户的密码对挑战字符串进行加密,并生成一个加密后的响应字符串(Response)。
- 客户端不会直接发送密码,而是发送响应字符串,确保密码本身不会在网络上传输。
3、服务器验证响应
- 服务器将客户端发送的响应与预期的响应进行比较。
- 服务器生成预期响应的方式:
- 通过用户的密码(从数据库中获取的加密哈希)加密同一个挑战字符串。
- 如果客户端的响应和服务器生成的响应匹配,则认证通过
既然是认证我们肯定分为认证失败和认证成功两种
首先,client会向server发起请求连接协商一些相关东西
2、Server将会本地生成一个(16位或8位)随机字符,即Challenge,并将Challenge传给client。
3、当client接收到Chalenge时,将username的NTLM-hash对Chalenge进行加密、和用户名、域名、机器名等相关信息,生成Response,并Response发送给server。
4、Server在收到Response后,将其和相同的方式进行加密生成另一个Response,如果相同,则验证成功,如果不同就失败
NTLM认证抓包分析
接下来从数据包层面进行分析
首先使用net use \ \ IP /u:账号名 密码 进行认证
同时打开wireshark进行抓包分析
使用smb or smb2 过滤
1、我们先来看前四个数据包,前四个数据包主要用来协商的,没有什么太大的作用
2、第五个数据包是用户启动身份的验证包和一些规则,主要是flag里面有相关规则
3、第六个数据包是,有一些包含同意的列表和重要的challenge
可以看到challenge是16位,这是因为这个采用NTLM v2的协议,如果是NTLM v1的协议就是8位
4、第七个数据包是发送Response的数据包,还包含账户名的相关信息
5、第八个数据包就是返回结果,用了表示成功还是失败,失败的话显示ERROR
Challenge和Response分析
Challenge是服务端发送给客户端的一串随机的字符,NTLM-v1协议中是8位,NTLM-v2协议中 是16位,自从Windows vista 之后就开始默认使用V2协议了
Response值是客户端生成的发送给服务端,用来进行校验的
Response是如何生成的呢?
他是由 Response =NTProofStr+blob两部分拼接起来的
1、NTProofStr : NTLM-v2-Hash值 和 challenge+blob 进行 HMAC-MD5加密
NTLM-v2-Hash: 大写的用户名+域名编码成unicode格式,然后和密码的NTLM-Hash值 进行HMAC-MD5加密
2、 blob是由时间,目标信息,随机填充字符等生成。
我们平时在使用工具进行攻击的时候抓到的都是Net-NTLM Hash个数据: username::domain:challenge: NTProofStr :blob
我们使用工具进行抓取Net-NTLM v2 Hash
格式为:username::domain:challenge:NTProofStr :blob
计算NTLM-v2-Hash
1、首先将administrator转成大写:ADMINISTRATOR
2、然后将BM-2008联合起来: ADMIN@123BM-2008
3、转成16进制:41444d494e4953545241544f52424d2d32303038 4、转成unicode格式: 410044004D0049004E004900530054005200410054004F00520042004D002D003200300030003800
5、使用密码和NTLM-Hash值: 570a9a65db8fba761c1008a51d4c95ab(作为key) 和上述进行HMAC- MD5加密
6、得到结果 236400794877e95f36a02f369f45ee16 NTLM-v2-Hash
计算NTProofStr
1、首先将NTLM-v2-Hash 作为key:236400794877e95f36a02f369f45ee16
2、 challenge+blob 加起来:
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
3、 NTLM-v2-Hash作为key对上述数据进行HMAC-MD5进行加密,得到 Becd7c318deacba635c398cd7b679cf8 ( NTProofStr )
得到Response值
Becd7c318deacba635c398cd7b679cf80101000000000000839015126990D 90172B4512C2F4BF1080000000002000E0042004D002D003200300030003 80001000E0042004D002D00320030003000380004000E0042004D002D003 20030003000380003000E0042004D002D003200300030003800070008008 39015126990D9010600040002000000080030003000000000000000000000 000030000007CDFF2CD4739540D80B3F01668B69F29BBE8F014CC625EE38 BBBAC47EE308820A00100000000000000000000000000000000000090026 0063006900660073002F003100390032002E003100360038002E003400310
02E00320033003900000000000000000000000000
