- 综合排序
- 最热优先
- 最新优先
- 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows安全认证机制之NTLM本地认证
NTLM本地认证1. NTLM本地登录认证 当我们在一台Windows机器上面创建用户的时候,该用户的密码会加密储存在一个SAM(Security Account Manager 安全账号管理器)中,是Windows操作系统管理用户帐户的安全所使用的一种机制 所谓的本地认证过程其实是对用户输入的密码与SAM安全管理数据库里加密的HASH值比对的过程,如图1-3所示。 3)验证(Response):验证主要是在质询完成后,验证结果,是认证的最后一步。 3.NTLM协议类型NTLM协议认证包含了NTLM V1、NTLM V2、NTLM session v2三个版本,其中使用最多的还是NTLM V2协议。
2.1K10编辑于 2024-01-22 - 来自专栏鸿鹄实验室
Windows认证--NTLM
Windows 身份验证机制主要有NTLM和Kerberos两种,前者主要用于本地以及工作组环境,而后者主要用于域环境.还有一种LM认证,但现在基本淘汰了,在这就不再做过多的解释. HTLM Hash NTLM认证就是通过NTLM Hash进行的认证,可分为本地认证和网络认证 加密算法 将明文密码转换成16进制格式 对16进制进行unicode编码,即在每个字节之后添加0x00 对 Hash一致 本地认证 当用户进行开启、注销等需要认证的时候,windows会调用winlogon.exe接受我们输入的密码,然后会将密码交给lsass.exe,lsass.exe进程会先在内存中存储一份明文密码 网络认证 NTLM在网络环境中采用的是一种Challenge/Response验证机制,由三个消息组成:Type1(协商),Type2(质询),Type3(身份验证) 首先客户端向服务端发送Type1消息去协商需要认证的主体 服务端接收到Type3消息后,用自己的密码对NTLM-Hash对Challenge进行加密,并比较自己计算出的Net NTLM Hash与客户端发送的是否匹配,如果匹配则认证成功,否则认证失败.
1.6K40编辑于 2022-11-02 - 来自专栏黑白天安全团队
windows之NTLM认证
NTLM认证主要有本地认证和网络认证两种方式 本地登陆时用户密码存储在SAM文件中,可以把它当作一个存储密码的数据库,所有的操作都在本地进行的。 windows本地认证基础知识 在本地登陆的情况下,操作系统会使用用户输入的密码作为凭据去与系统中的密码进行校验,如果成功的话表明验证通过。 3.客户端接受到Challenge后,使用将要登录到账户对应的NTLM Hash加密Challenge生成Response,然后将Response发送至服务器端。 详细过程: 1.Server接收到Client发送的用户名后,判断本地账户列 表是否有用户名share_user 如果没有,返回认证失败 如果有,生成Chanllenge,并且从本地查找share_user 3.Server接收到Client发送的Response,将Response与之 前的Net-NTLM Hash进行比较,如果相等,则认证通过。
3.1K20发布于 2020-08-18 - 来自专栏Y5neKO博客
NTLM及Kerberos认证流程
NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2.认证流程 ①使用用户名和密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务器明文发送自己的账号 ④服务器生成一个 进行比较,如果一样则认证成功,反之则失败 本地认证 Windows不会储存用户的明文密码,而是将明文密码加密后储存在SAM中 本地认证的过程中,用户登录时,系统会将用户输入的明文密码加密成NTLM Hash ,然后加密成NTLM Hash winlogon.exe -> 接收用户输入 -> lsass.exe -> 本地认证 NTLM Hash的生成 用户明文密码:y5neko123 十六进制转换为:79356e656b6f313233 2.认证流程 Kerberos 协议中主要有四个角色的存在: 访问服务的 Client 提供服务的 Server KDC(Key Distribution Center)密钥分发中心3 AD(Account
2.2K20编辑于 2022-01-13 - 来自专栏信安本原
Windows认证 | Windows本地认证
Windows的登陆密码是储存在系统本地的SAM文件中的,在登陆Windows的时候,系统会将用户输入的密码与SAM文件中的密码进行对比,如果相同,则认证成功。 SAM文件是位于%SystemRoot%\system32\config\目录下的,用于储存本地所有用户的凭证信息,但是这并不代表着你可以随意去查看系统密码。 ? 目前在Windows中所使用的密码hash被称为NTLM hash,全称为:NT LAN Manager,它是一个由数字和字母组成的32位的值,是经过hex、Unicode、MD4三层加密后得到的。 注:winlogon是用来管理用户登陆和登出的,lsass是用于本地安全和登陆策略的 说完了NTLM hash再说一下LM hash,LM hash是NTLM hash的前身,它本身是非常脆弱的,对于它的生成规则就不多说了 而且通过LM hash的生成机制,还能很清楚的看出来如果密码是否大于等于7位,因为当位数不足时,后面会用0来补全,所以当我们的密码位数小于7时,最终生成的LM hash的末尾字符是一个恒定不变的值:AA-D3-
2.9K20发布于 2020-03-10 - 来自专栏全栈程序员必看
本地AAA认证「建议收藏」
1.1 问题 如图配置IP地址,通过AAA对远程登录用户进行控制 配置R1的AAA为本地认证和授权,通过域huawei来管理用户 配置R3的AAA为本地认证和授权,通过域 HCIE 来管理用户 配置R1 [R1-aaa-authen-auth1]authentication-mode local //通过本地密码数据库进行认证 [R1-aaa-authen-auth1]quit [R1 authorization-scheme auth2 //配置授权机制 [R1-aaa-author-auth2]authorization-mode local //通过本地密码数据库进行认证 ]authentication-mode local //通过本地密码数据库进行认证 [R3-aaa-authen-auth1]quit [R3-aaa]authorization-scheme auth2 //配置授权机制 [R3-aaa-author-auth2]authorization-mode local //通过本地密码数据库进行认证 [
90631编辑于 2022-09-06 - 来自专栏FreeBuf
NTLMRecon:一款针对Web应用NTLM认证信息的枚举工具
NTLMRecon NTLMRecon是一款针对Web应用NTLM认证信息的枚举工具,如果目标Web节点启用了NTLM认证功能,那么广大研究人员就可以使用NTLMRecon来枚举目标相关信息。 NTLMRecon是一款运行速度快且扩展灵活的NTLM侦察工具,该工具无需外部依赖即可实现其功能。 工具概览 NTLMRecon可以搜索到启用了NTLM的Web节点,然后向其发送伪造的认证请求,并能够尝试从NTLMSSP响应中枚举出下列信息: 1、活动目录域名 2、服务器名 3、DNS域名 4、FQDN 通用安装 首先,使用下列命令将项目源码克隆至本地: git clone https://github.com/sachinkamath/ntlmrecon/ 建议大家在虚拟环境中使用该文件,安装Virtualenv 节点 —infile INFILE 传递本地输入文件 —wordlist WORDLIST 使用自定义字典覆盖内部字典 —threads THREADS 设置线程数量 (默认为10
99130发布于 2020-03-31 - 来自专栏python3
NGINX 配置本地HTTPS(双向认证)
双向认证 双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,具体过程如下: ? 用 CA 私钥签发 server 的数字证书 3. ssl_verify_client on; #双向认证 ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 SPNEGO NTLM NTLM_WB SSL libz TLS-SRP UnixSockets 请确保curl版本不能低于 7.47版本,否则会出现: 400 No required SSL certificate ssl_verify_client on; #双向认证 ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3
4.3K30发布于 2020-02-27 - 来自专栏服务器大本营
Windows系统安全策略设置之本地NTLM重放提权
经安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌 (Windows2008/2012/2016/2019均适用)1、打开 控制面板->管理工具->组件服务2、展开 组件服务-计算机 ,右击 我的电脑 选择 属性3、点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式
39710编辑于 2024-02-21 - 来自专栏开源部署
使用vsftpd服务传输文件(匿名用户认证、本地用户认证、虚拟用户认证)
vsftd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。 匿名开放模式: 是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。 本地用户模式: 是通过Linux系统的本地账户密码信息进行认证,相较于匿名开放模式更安全。但是如果被×××破解了账户的信息,就可以畅通无阻登录FTP服务器,从而完全控制整台服务器。 虚拟用户模式: 是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用 本地用户模式 之前用的是匿名开放模式,现在关了,然后开启本地用户模式。创建一个本地用户zhangsan进行测试。 第3步: 建立用于支持虚拟用户的PAM文件vfstpd.vu,其中“db=”参数是使用db_load命令生成的账户密码数据库文件的路径。
3K50编辑于 2022-07-25 SCCM横向移动之利用SCCM强制进行NTLM认证
SCCM客户端下发安装机制在SCCM中,服务器可以对机器进行客户端下发安装,这个过程是通过WMI远程管理实现的,而且实现软件分发的配置账户需要是本地管理员组或者域管理员组中的成员。 利用SCCM强制NTLM认证的前提条件当SCCM启用自动站点分配和自动客户端推送安装功能时,若未明确禁用NTLM身份验证的回退(默认设置),并且客户端身份验证不需要PKI证书(默认设定),以及目标管理点必须能够通过 图形用户界面,文本,应用程序描述已自动生成
图1-2边界组站点分配设置 实施NTLM强制认证以横向移动满足上述条件后,我们可以通过NTLM强制认证来进行横向移动。 文本描述已自动生成图1-3使用ntlmrelayx进行中继 之后我们通过SCCM的客户端安装功能来进行强制认证,执行命令及结果如图1-4所示。 文本,表格中度可信度描述已自动生成图1-4通过SharpSCCM进行强制NTLM认证 之后我们的攻击机获取到带有凭据的连接请求,并中继给了目标机器,目标机器成功执行了我们设定的命令12910编辑于 2026-01-19- 来自专栏python3
varnish 3 telnet 认证
varnish 3 telent 连接认证 telnet 连接varnish服务器,管理varnish,纠结了很久。 .| 00000046 critter phk> sha256 _ SHA256 (_) = 455ce847f0073c7ab3b1465f74507b75d3dc064c1e7de3b71e00de9092fdc89a critter phk> openssl dgst -sha256 < _ 455ce847f0073c7ab3b1465f74507b75d3dc064c1e7de3b71e00de9092fdc89a 开一个新的窗口 [root@app01 ~]# cat >_ fihavxljosnjdgcinozwrkcjgnapsgjx 1ecbd809-c203-4052-9271-f29d3e5274dc 2d 34 |.1ecbd809-c203-4| 00000030 30 35 32 2d 39 32 37 31 2d 66 32 39 64 33 65 35 |052-9271-f29d3e5
48810发布于 2020-01-13 - 来自专栏HACK学习
Windows认证及抓密码总结
同时,Windows Access Token记录着某用户的SID、组ID、Session、及权限等信息,也起到了权限认证的作用。 其中,NTLM认证主要有本地认证和网络认证两种方式。 本地登录时,用户的密码存储在%SystemRoot%\system32\config\sam这个文件里。当用户输入密码进行本地认证的过程中,所有的操作都是在本地进行的。 NTLM的认证过程是怎样什么? 首先是本地认证,也就是NTLM Hash的生成方式。 当用户注销、重启、锁屏后,操作系统会让winlogon显示登录界面,也就是输入框。 看明白本地认证的过程后,再说一下网络认证的具体过程。 NTLM v1的Challenge有8位,NTLM v2的Challenge为16位。NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。 3.
2K40发布于 2019-08-06 - 来自专栏Cyber Security
【内网安全】横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
由于该Relay攻击要涉及到NTLM认证和Net-NTLM Hash,所以我们先来了解一下NTLM认证过程和什么是Net-NTLM Hash。 在下面的NTLM认证过程中你可以知道Net-NTLM Hash产生的过程。 Net-NTLMHash 封装到 TYPE 3 NTLM_AUTH消息中发往服务器。 服务器在收到 TYPE 3 的消息之后,用自己密码的 NTLM-Hash 对 Challenge 进行加密,并比较自己计算出的 Net NTLM-Hash 认证消息和客户端发送的认证消息是否匹配。 服务器接收到客户端发送来的 TYPE 3 消息后,取出其中的Net NTLM-Hash值,并向域控制器发送针对客户端的验证请求。
75010编辑于 2024-07-18 - 来自专栏HACK学习
内网渗透|HASH与横向移动
本地认证 既然是获取hash就需要一些基础知识,这里首先说以下本地认证。 在Windows中,密码Hash称之为NTLM Hash,这个NTLM是一种网络认证协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。 在本地认证的过程中,其实就是将用户输入的密码转换为NTLM Hash与SAM中的NTLM Hash进行比较 假设我的密码是admin,那么操作系统会将admin转换为十六进制,经过Unicode转换后, -> MD4 = 209c6174da490caeb422f3fa5a7ae634 本地认证中主要可以概括为以下三步:winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证 Responder会利用内置SMB认证服务器、MSSQL认证服务器、HTTP认证服务器、HTTPS认证服务器、LDAP认证服务器,DNS服务器、WPAD代理服务器,以及FTP、POP3、IMAP、SMTP
1.4K40发布于 2021-08-13 - 来自专栏黑白天安全团队
内网协议NTLM之NTLM基础
本地认证的流程 winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证) Windows Logon Process(即 winlogon.exe),是Windows NT NTLM的认证过程是怎样什么? NTLM Hash是怎么样生成的呢? ,它容易与NTLM混淆,NTLM是一种网络协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。 NTLM_AUTH 消息中(被称为 TYPE 3 消息, Authenticate认证消息),发往服务端 4.服务器在收到 Type3的消息之后,用自己的密码的 NTLM-Hash 对 Challenge 认证流程) 域控使用challenge和用户hash进行加密得到response2,与type 3的response进行比较 NTLM安全问题之:PTH 由于在NTLM认证的时候使用的就是Hash来进行计算
1.9K20发布于 2021-04-07 - 来自专栏信安之路
基于 LLMNR 和 NetBIOS 欺骗的攻击利用
(LLMNR)和 NetBIOS 名称服务(NBT-NS) e、Net-NTLM hash 简要的介绍一下, Net-NTLM hash 是 net ntlm 认证过程中产生的, 大致流程如下 1、客户端向服务器端发送用户信息 3、客户端接受到 Challenge 后,使用自己提供的账户的密码转换成对应的NTLM Hash,然后使用这个 NTLM Hash 加密 Challenge 生成 Response,然后将 Response NTLM Hash(不能直接用来进行哈希传递攻击,但可以通过暴力破解来获取明文密码) 0x01 攻击原理 1,利用 Responder 内置的 SMB 认证服务器、MSSQL 认证服务器、HTTP 认证服务器 、HTTPS 认证服务器、LDAP 认证服务器,DNS 服务器、WPAD 代理服务器,以及 FTP、POP3、IMAP、SMTP 等服务器与协议来获取目标网络中计算机的 Net-NTML Hash。 3,当用户输入不存在错误的 或者 DNS 中没有的主机名时,主机会依照以下流程去查询: 本地缓存->DNS 服务器->LLMNR 与 NetBIOS。
2K40发布于 2021-04-14 - 来自专栏谢公子学安全
NTLM协议详解
(2) Net-NTLM v2 Hash计算 2. 域环境下的NTLM认证 (1) 域环境下NTLM认证抓包 3. NTLM v1和NTLM v2的区别 4. 当用户输入密码进行本地认证的过程中,所有的操作都是在本地进行的。系统将用户输入的密码转换为NTLM Hash,然后与SAM文件中的NTLM Hash进行比较,相同说明密码正确,反之错误。 3 NTLM v1和NTLM v2的区别 NTLM v1身份认证协议和NTLM v2身份认证协议是NTLM身份认证协议的不同版本。目前使用最多的是NTLM v2版本。 05 NTLM协议的安全问题 从上面NTLM认证的流程中我们可以看到,在Type 3 Auth认证消息中是使用用户密码的Hash计算的。 如下操作开启目标主机支持NTLM v1响应: 打开本地安全策略——>安全设置——>本地策略——>安全选项——>网络安全: LAN管理器身份验证级别。
7.4K51编辑于 2023-02-27 - 来自专栏Timeline Sec
第四期学习活动—第二天优秀作业
Windows之NTLM认证 1、什么是NTLM NTLM是NT LAN Manager的缩写,这也说明了协议的来源。 3、NTLM身份验证 认证方法分为两种: 本地认证 1、本地登陆时用户密码存储在SAM文件中,可以把它当作一个存储密码的数据库,所有的操作都在本地进行的。 它用于本地安全和登陆策略。 协商:主要用于确认双方协议版本、加密等级等(双方确定使用的协议版本,在NTLM认证中,NTLM响应分为NTLM v1,NTLMv2,NTLM session v2三种协议,不同协议使用不同格式的Challenge 3、Kerbreros粗略认证流程 如果把 Kerberos 中的票据类比为一张火车票,那么 Client 端就是乘客,Server 端就是火车,而 KDC 就是就是车站的认证系统。
65340发布于 2021-12-02 - 来自专栏网络之路
基于无线场景的本地MAC地址认证方案
1、MAC认证的用户名的格式为without-hyphen,就是0005e01c02e3没任何符号的,在创建用户名密码的时候可以统一为0005e01c02e3 2、认证模板本地我们可以采用默认或者是自定义 3、如果需要授权,我们可以对于认证后的用户进行本地授权,并且要考虑如果授权了VLAN后,数据VLAN放行的情况。 [Y/N]y 总结下整个配置流程:(1)配置接入模板(采用哪种NAC认证) (2)配置认证模板:认证模板里面分为认证方式(采用本地还是外部数据库) 如果是本地认证则配置本地用户信息(这里MAC地址用户名密码不能一致 (该实例就定义了认证方式为本地,然后配置了本地用户信息,然后调用了接入模板) (3)把认证模板在VAP里面调用。 测试,可以连接,但是我们怎么判断它是不是属于MAC地址认证呢? VAP里面 3、本地认证的时候注意帐号密码在AC新版本里面都不能是包含用户名,我们解决办法是设置一个通用密码。
40210编辑于 2024-12-24
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号