- 综合排序
- 最热优先
- 最新优先
- 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows安全认证机制之NTLM本地认证
NTLM本地认证1. 所谓的本地认证过程其实是对用户输入的密码与SAM安全管理数据库里加密的HASH值比对的过程,如图1-3所示。 2.NTLM认证三步曲NTLM也是Windows网络认证协议的一种,其以NTLM HASH 作为凭证的方式进行认证,采用挑战/响应(Challenge/Response)的消息交换模式,NTLM认证协议分三步走 3.NTLM协议类型NTLM协议认证包含了NTLM V1、NTLM V2、NTLM session v2三个版本,其中使用最多的还是NTLM V2协议。 NTLM V2 协议:NTLM V2也可称为NTLM第二版协议,是NTLM协议V1的改进版本,其通过强化认证协议及安全身份认证机制的方式来增加NTLM的安全性。
2.1K10编辑于 2024-01-22 - 来自专栏鸿鹄实验室
Windows认证--NTLM
Windows 身份验证机制主要有NTLM和Kerberos两种,前者主要用于本地以及工作组环境,而后者主要用于域环境.还有一种LM认证,但现在基本淘汰了,在这就不再做过多的解释. HTLM Hash NTLM认证就是通过NTLM Hash进行的认证,可分为本地认证和网络认证 加密算法 将明文密码转换成16进制格式 对16进制进行unicode编码,即在每个字节之后添加0x00 对 Hash一致 本地认证 当用户进行开启、注销等需要认证的时候,windows会调用winlogon.exe接受我们输入的密码,然后会将密码交给lsass.exe,lsass.exe进程会先在内存中存储一份明文密码 网络认证 NTLM在网络环境中采用的是一种Challenge/Response验证机制,由三个消息组成:Type1(协商),Type2(质询),Type3(身份验证) 首先客户端向服务端发送Type1消息去协商需要认证的主体 服务端接收到客户端发送的Type1消息后,会生成一个随机的16位Type 2 Challenge消息,本地存储后将Type 2消息发送给客户端.
1.6K40编辑于 2022-11-02 - 来自专栏黑白天安全团队
windows之NTLM认证
NTLM认证主要有本地认证和网络认证两种方式 本地登陆时用户密码存储在SAM文件中,可以把它当作一个存储密码的数据库,所有的操作都在本地进行的。 现在已经更新到了V2版本以及加入了Kerberos验证体系 NTLM 协议 NTLM是一种网络认证协议,它是基于挑战(Chalenge)/响应(Response)认证机制的一种认证模式。 NTLM 协议 V1 与 V2的区别 NTLM v1与NTLM v2最显著的区别就是Challenge与加密算法不同,共同点就是加密的原料都是NTLM Hash。 Challage:NTLM v1的Challenge有8位,NTLM v2的Challenge为16位。 Net-NTLM Hash:NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。
3.1K20发布于 2020-08-18 - 来自专栏Y5neKO博客
NTLM及Kerberos认证流程
NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2.认证流程 ①使用用户名和密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务器明文发送自己的账号 ④服务器生成一个 (DC) ⑦域控制器用这个用户名在SAM密码管理库2中找到此用户对应的NTLM Hash,并使用这个值来加密challenge,生成的结果记为response2 ⑧域控制器对response和response2 进行比较,如果一样则认证成功,反之则失败 本地认证 Windows不会储存用户的明文密码,而是将明文密码加密后储存在SAM中 本地认证的过程中,用户登录时,系统会将用户输入的明文密码加密成NTLM Hash ,然后加密成NTLM Hash winlogon.exe -> 接收用户输入 -> lsass.exe -> 本地认证 NTLM Hash的生成 用户明文密码:y5neko123 十六进制转换为:79356e656b6f313233
2.2K20编辑于 2022-01-13 - 来自专栏信安本原
Windows认证 | Windows本地认证
Windows的登陆密码是储存在系统本地的SAM文件中的,在登陆Windows的时候,系统会将用户输入的密码与SAM文件中的密码进行对比,如果相同,则认证成功。 SAM文件是位于%SystemRoot%\system32\config\目录下的,用于储存本地所有用户的凭证信息,但是这并不代表着你可以随意去查看系统密码。 ? 目前在Windows中所使用的密码hash被称为NTLM hash,全称为:NT LAN Manager,它是一个由数字和字母组成的32位的值,是经过hex、Unicode、MD4三层加密后得到的。 注:winlogon是用来管理用户登陆和登出的,lsass是用于本地安全和登陆策略的 说完了NTLM hash再说一下LM hash,LM hash是NTLM hash的前身,它本身是非常脆弱的,对于它的生成规则就不多说了 值,当然SAM文件也是不允许直接拷贝和访问的,需要通过一些其他的办法来提取,最后通过彩虹表等其他的一些工具进行破解即可得到明文密码,或者通过Mimikatz读取lsass.exe进程能获得已登录用户的NTLM
2.9K20发布于 2020-03-10 - 来自专栏全栈程序员必看
本地AAA认证「建议收藏」
1.1 问题 如图配置IP地址,通过AAA对远程登录用户进行控制 配置R1的AAA为本地认证和授权,通过域huawei来管理用户 配置R3的AAA为本地认证和授权,通过域 HCIE 来管理用户 配置R1 ]authentication-mode local //通过本地密码数据库进行认证 [R1-aaa-authen-auth1]quit [R1-aaa]authorization-scheme auth2 //配置授权机制 [R1-aaa-author-auth2]authorization-mode local //通过本地密码数据库进行认证 [R3-aaa-authen-auth1]authentication-mode local //通过本地密码数据库进行认证 [R3-aaa-authen-auth1]quit local //通过本地密码数据库进行认证 [R3-aaa-author-auth2]quit [R3]telnet server enable //开启Telnet 服务器功能
90631编辑于 2022-09-06 - 来自专栏FreeBuf
NTLMRecon:一款针对Web应用NTLM认证信息的枚举工具
NTLMRecon NTLMRecon是一款针对Web应用NTLM认证信息的枚举工具,如果目标Web节点启用了NTLM认证功能,那么广大研究人员就可以使用NTLMRecon来枚举目标相关信息。 NTLMRecon是一款运行速度快且扩展灵活的NTLM侦察工具,该工具无需外部依赖即可实现其功能。 工具概览 NTLMRecon可以搜索到启用了NTLM的Web节点,然后向其发送伪造的认证请求,并能够尝试从NTLMSSP响应中枚举出下列信息: 1、活动目录域名 2、服务器名 3、DNS域名 4、FQDN 通用安装 首先,使用下列命令将项目源码克隆至本地: git clone https://github.com/sachinkamath/ntlmrecon/ 建议大家在虚拟环境中使用该文件,安装Virtualenv 节点 —infile INFILE 传递本地输入文件 —wordlist WORDLIST 使用自定义字典覆盖内部字典 —threads THREADS 设置线程数量 (默认为10
99130发布于 2020-03-31 - 来自专栏python3
NGINX 配置本地HTTPS(双向认证)
2.公钥加密 加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥。 单向认证 Https在建立Socket连接之前,需要进行握手,具体过程如下: ? 双向认证 双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,具体过程如下: ? ssl_verify_client on; #双向认证 ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 NTLM_WB SSL libz TLS-SRP UnixSockets 请确保curl版本不能低于 7.47版本,否则会出现: 400 No required SSL certificate was ssl_verify_client on; #双向认证 ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3
4.3K30发布于 2020-02-27 - 来自专栏服务器大本营
Windows系统安全策略设置之本地NTLM重放提权
经安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌 (Windows2008/2012/2016/2019均适用)1、打开 控制面板->管理工具->组件服务2、展开 组件服务-计算机 ,右击 我的电脑 选择 属性3、点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式
39710编辑于 2024-02-21 - 来自专栏开源部署
使用vsftpd服务传输文件(匿名用户认证、本地用户认证、虚拟用户认证)
vsftd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。 匿名开放模式: 是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。 本地用户模式: 是通过Linux系统的本地账户密码信息进行认证,相较于匿名开放模式更安全。但是如果被×××破解了账户的信息,就可以畅通无阻登录FTP服务器,从而完全控制整台服务器。 虚拟用户模式: 是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用 本地用户模式 之前用的是匿名开放模式,现在关了,然后开启本地用户模式。创建一个本地用户zhangsan进行测试。 [root@RedHat6-2 ~]# cd /etc/vsftpd/ [root@RedHat6-2 vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh
3K50编辑于 2022-07-25 SCCM横向移动之利用SCCM强制进行NTLM认证
SCCM客户端下发安装机制在SCCM中,服务器可以对机器进行客户端下发安装,这个过程是通过WMI远程管理实现的,而且实现软件分发的配置账户需要是本地管理员组或者域管理员组中的成员。 利用SCCM强制NTLM认证的前提条件当SCCM启用自动站点分配和自动客户端推送安装功能时,若未明确禁用NTLM身份验证的回退(默认设置),并且客户端身份验证不需要PKI证书(默认设定),以及目标管理点必须能够通过
图1-1客户端请求安装属性 边界组用于站点分配如图1-2所示。! 图形用户界面,文本,应用程序描述已自动生成图1-2边界组站点分配设置 实施NTLM强制认证以横向移动满足上述条件后,我们可以通过NTLM强制认证来进行横向移动。 文本,表格中度可信度描述已自动生成图1-4通过SharpSCCM进行强制NTLM认证 之后我们的攻击机获取到带有凭据的连接请求,并中继给了目标机器,目标机器成功执行了我们设定的命令12910编辑于 2026-01-19- 来自专栏JAVA乐园
OAuth2 认证
介绍 OAuth2(Open Authorization,开放授权)是OAuth的升级版本。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 response_type=token&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom% 2Fcb HTTP/1.1Host: server.example.com C步骤中,认证服务器回应客户端的URI,包含以下参数: access_token:表示访问令牌,必选项。 它的步骤如下: (A)客户端向认证服务器进行身份认证,并要求一个访问令牌。 (B)认证服务器确认无误后,向客户端提供访问令牌。
84720编辑于 2022-04-15 - 来自专栏HACK学习
Windows认证及抓密码总结
同时,Windows Access Token记录着某用户的SID、组ID、Session、及权限等信息,也起到了权限认证的作用。 其中,NTLM认证主要有本地认证和网络认证两种方式。 本地登录时,用户的密码存储在%SystemRoot%\system32\config\sam这个文件里。当用户输入密码进行本地认证的过程中,所有的操作都是在本地进行的。 2. NTLM的认证过程是怎样什么? 首先是本地认证,也就是NTLM Hash的生成方式。 当用户注销、重启、锁屏后,操作系统会让winlogon显示登录界面,也就是输入框。 上边说的是NTLM v1认证方式,NTLM v2和v1最显著的区别就是Challenge与加密算法不同,共同点就是加密的key都是NTLM Hash。 NTLM v1的Challenge有8位,NTLM v2的Challenge为16位。NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。 3.
2K40发布于 2019-08-06 - 来自专栏Cyber Security
【内网安全】横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
由于该Relay攻击要涉及到NTLM认证和Net-NTLM Hash,所以我们先来了解一下NTLM认证过程和什么是Net-NTLM Hash。 在下面的NTLM认证过程中你可以知道Net-NTLM Hash产生的过程。 服务器在收到 TYPE 3 的消息之后,用自己密码的 NTLM-Hash 对 Challenge 进行加密,并比较自己计算出的 Net NTLM-Hash 认证消息和客户端发送的认证消息是否匹配。 横向移动-NTLM中继攻击-Relay重放-SMB上线 条件 通讯双方当前用户和密码一致 例如 webserver中有本地用户administrator/admin! @#45 并且sqlserver本地用户也有administrator/admin!
75010编辑于 2024-07-18 - 来自专栏HACK学习
内网渗透|HASH与横向移动
本地认证 既然是获取hash就需要一些基础知识,这里首先说以下本地认证。 在Windows中,密码Hash称之为NTLM Hash,这个NTLM是一种网络认证协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。 在本地认证的过程中,其实就是将用户输入的密码转换为NTLM Hash与SAM中的NTLM Hash进行比较 假设我的密码是admin,那么操作系统会将admin转换为十六进制,经过Unicode转换后, -> MD4 = 209c6174da490caeb422f3fa5a7ae634 本地认证中主要可以概括为以下三步:winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证 Net-NTLM协议在不同的版本上又可细分为NTLM v1,NTLMv2,NTLM session v2三种协议,不同协议使用不同格式的Challenge和加密算法。
1.4K40发布于 2021-08-13 - 来自专栏01二进制
身份认证之双因素认证 2FA
身份认证 这里所说的身份认证,指的是狭义上的在计算机及其网络系统中确认操作者身份的过程,从而确定用户是否具有访问或操作某种资源的权限。 本文将会介绍目前很多网站常用的一种方式——双因素认证(也叫两步验证,英语:Two-factor authentication,缩写为 2FA)。 双因素认证 2FA 虽然网络世界和真实世界对于身份的表示不尽相同,但是对于身份认证的手段与经验是可以相互借鉴的。在真实世界,对用户的身份认证基本依据可以分为这三种: ? 因此,在网络世界中,为了达到更高的身份认证安全性,某些场景会将上面 3 种挑选 2 种混合使用,即双因素认证。 2.服务端将该密钥下发,通常是在页面上显示一个二维码,内容中包含密钥。3.客户端扫描二维码,把密钥保存在客户端。
4.6K20发布于 2021-03-16 - 来自专栏程序猿 Damon 带你进阶全栈
统一认证中心 Oauth2 认证坑
在前面文章 Springcloud Oauth2 HA篇 中,实现了基于 Oauth2 的统一认证的认证与授权。 我们先来请求认证中心登录接口,获取token: image.png 在拿到token之后,我们请求这个接口,我们会发现: image.png 说明未认证,我们再看看:发现原来当请求这个接口时,消费端后去请求认证中心的接口 9e2b-76496deb27b4","result":{"code":20202,"msg":"未认证","status":401}} 但认证中心给返回的404状态码,此时会走统一异常EntryPoint 从而返回信息体:{"data":"b34841b4-61fa-4dbb-9e2b-76496deb27b4","result":{"code":20202,"msg":"未认证","status":401 看认证中心日志: 2021-11-03 15:59:09.407 DEBUG 54492 --- [o2-2000-exec-15] o.s.web.servlet.DispatcherServlet
1.6K10发布于 2021-11-12 - 来自专栏ffffffff0x
浅谈windows认证原理
[1.png] --- 本地认证 在 Windows 系统中本机用户的密码 Hash 是放在本地的 SAM 文件里面,域内用户的密码 Hash 是存在于域控的 NTDS.DIT 文件里。 用于本地安全和登陆策略。 网络认证 在内网渗透中,经常遇到工作组环境。 hash,response 中包含 Net-NTLM hash 在 NTLM 认证中,NTLM 响应分为 NTLM v1,NTLMv2,NTLM session v2 三种协议,不同协议使用不同格式的 Challenge 和加密算法 所以也就存在不同协议的 Net-NTLM hash,即 Net-NTLM v1 hash,Net-NTLM v2 hash NTLMv2 协议 NTLMv1 和 NTLMv2 --- 总结 本文解释了windows的认证机制,包括本地认证和网络认证,并且演示了使用mimikatz抓取系统认证的场景。受篇幅限制,Kerberos,pth、ptt、ptk这些内容需下次介绍。
2.2K42发布于 2020-12-28 - 来自专栏信安之路
基于 LLMNR 和 NetBIOS 欺骗的攻击利用
(LLMNR)和 NetBIOS 名称服务(NBT-NS) e、Net-NTLM hash 简要的介绍一下, Net-NTLM hash 是 net ntlm 认证过程中产生的, 大致流程如下 1、客户端向服务器端发送用户信息 (用户名)请求 2、服务器接受到请求后,判断本地用户列表是否存在客户端发送的用户名,如果没有返回认证失败,如果有, 生成一个 16 位的随机数,被称之为“Challenge”, 然后使用登录用户名对应的 4、服务端收到客户端发送的 Response 后,与之前保存在内存中的 Channelge1 比较,如果相等认证通过其中,经过 NTLM Hash 加密 Challenge 的结果在网络协议中称之为 Net NTLM Hash(不能直接用来进行哈希传递攻击,但可以通过暴力破解来获取明文密码) 0x01 攻击原理 1,利用 Responder 内置的 SMB 认证服务器、MSSQL 认证服务器、HTTP 认证服务器 文件进行爆破 0x03 思路扩展 1,利用 WPAD 协议劫持来获取 net-NTLM hash 2,通过内网服务中的传统 web 漏洞,如 XSS、文件包含等漏洞来执行命令从而获取 net-NTLM
2K40发布于 2021-04-14 - 来自专栏黑白天安全团队
内网协议NTLM之NTLM基础
本地认证的流程 winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证) Windows Logon Process(即 winlogon.exe),是Windows NT NTLM的认证过程是怎样什么? NTLM Hash是怎么样生成的呢? ,它容易与NTLM混淆,NTLM是一种网络协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。 它替换启用了 NTLM版本2的系统上的NTLM响应。 LMv2响应 - 替代NTLM版本2系统上的LM响应。 认证流程) 域控使用challenge和用户hash进行加密得到response2,与type 3的response进行比较 NTLM安全问题之:PTH 由于在NTLM认证的时候使用的就是Hash来进行计算
1.9K20发布于 2021-04-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号