- 综合排序
- 最热优先
- 最新优先
- 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows安全认证机制之NTLM本地认证
NTLM本地认证1. NTLM本地登录认证 当我们在一台Windows机器上面创建用户的时候,该用户的密码会加密储存在一个SAM(Security Account Manager 安全账号管理器)中,是Windows操作系统管理用户帐户的安全所使用的一种机制 所谓的本地认证过程其实是对用户输入的密码与SAM安全管理数据库里加密的HASH值比对的过程,如图1-3所示。 HMAC- MD5。 5.工作站环境中NTLM工作机制如图1-5所示,详细地描述了NTLM在工作站环境中的工作机制,其具体工作分步机制如下。
2.1K10编辑于 2024-01-22 - 来自专栏鸿鹄实验室
Windows认证--NTLM
Windows 身份验证机制主要有NTLM和Kerberos两种,前者主要用于本地以及工作组环境,而后者主要用于域环境.还有一种LM认证,但现在基本淘汰了,在这就不再做过多的解释. HTLM Hash NTLM认证就是通过NTLM Hash进行的认证,可分为本地认证和网络认证 加密算法 将明文密码转换成16进制格式 对16进制进行unicode编码,即在每个字节之后添加0x00 对 unicode字符串做md4加密 例如: 明文密码:12345 转换成16进制:313233343536 转换成unicode:310032003300340035003600 md4加密:32ed87bdb5fdc5e9cba88547376818d4 加密结果和mimikatz抓到的NTLM Hash一致 本地认证 当用户进行开启、注销等需要认证的时候,windows会调用winlogon.exe接受我们输入的密码,然后会将密码交给lsass.exe 服务端接收到Type3消息后,用自己的密码对NTLM-Hash对Challenge进行加密,并比较自己计算出的Net NTLM Hash与客户端发送的是否匹配,如果匹配则认证成功,否则认证失败.
1.6K40编辑于 2022-11-02 - 来自专栏黑白天安全团队
windows之NTLM认证
NTLM认证主要有本地认证和网络认证两种方式 本地登陆时用户密码存储在SAM文件中,可以把它当作一个存储密码的数据库,所有的操作都在本地进行的。 windows本地认证基础知识 在本地登陆的情况下,操作系统会使用用户输入的密码作为凭据去与系统中的密码进行校验,如果成功的话表明验证通过。 NTLM的认证过程 NTLM Hash是怎么样生成的呢? 详细过程: 1.Server接收到Client发送的用户名后,判断本地账户列 表是否有用户名share_user 如果没有,返回认证失败 如果有,生成Chanllenge,并且从本地查找share_user Net-NTLM Hash:NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。
3.1K20发布于 2020-08-18 - 来自专栏Y5neKO博客
NTLM及Kerberos认证流程
NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2.认证流程 ①使用用户名和密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务器明文发送自己的账号 ④服务器生成一个 进行比较,如果一样则认证成功,反之则失败 本地认证 Windows不会储存用户的明文密码,而是将明文密码加密后储存在SAM中 本地认证的过程中,用户登录时,系统会将用户输入的明文密码加密成NTLM Hash ,然后加密成NTLM Hash winlogon.exe -> 接收用户输入 -> lsass.exe -> 本地认证 NTLM Hash的生成 用户明文密码:y5neko123 十六进制转换为:79356e656b6f313233 使用Server的NTLM Hash加密SessionKey-tgs生成ST5 Client收到KRB_TGS_REP,使用SessionKey对返回的SessionKey-tgs-encrypt进行解密得到
2.2K20编辑于 2022-01-13 - 来自专栏信安本原
Windows认证 | Windows本地认证
Windows的登陆密码是储存在系统本地的SAM文件中的,在登陆Windows的时候,系统会将用户输入的密码与SAM文件中的密码进行对比,如果相同,则认证成功。 SAM文件是位于%SystemRoot%\system32\config\目录下的,用于储存本地所有用户的凭证信息,但是这并不代表着你可以随意去查看系统密码。 ? 目前在Windows中所使用的密码hash被称为NTLM hash,全称为:NT LAN Manager,它是一个由数字和字母组成的32位的值,是经过hex、Unicode、MD4三层加密后得到的。 注:winlogon是用来管理用户登陆和登出的,lsass是用于本地安全和登陆策略的 说完了NTLM hash再说一下LM hash,LM hash是NTLM hash的前身,它本身是非常脆弱的,对于它的生成规则就不多说了 的生成机制,还能很清楚的看出来如果密码是否大于等于7位,因为当位数不足时,后面会用0来补全,所以当我们的密码位数小于7时,最终生成的LM hash的末尾字符是一个恒定不变的值:AA-D3-B4-35-B5-
2.9K20发布于 2020-03-10 - 来自专栏全栈程序员必看
本地AAA认证「建议收藏」
1.1 问题 如图配置IP地址,通过AAA对远程登录用户进行控制 配置R1的AAA为本地认证和授权,通过域huawei来管理用户 配置R3的AAA为本地认证和授权,通过域 HCIE 来管理用户 配置R1 [R1-aaa-authen-auth1]authentication-mode local //通过本地密码数据库进行认证 [R1-aaa-authen-auth1]quit authorization-scheme auth2 //配置授权机制 [R1-aaa-author-auth2]authorization-mode local //通过本地密码数据库进行认证 [R3-aaa-authen-auth1]authentication-mode local //通过本地密码数据库进行认证 [R3-aaa-authen-auth1]quit authorization-scheme auth2 //配置授权机制 [R3-aaa-author-auth2]authorization-mode local //通过本地密码数据库进行认证
90631编辑于 2022-09-06 - 来自专栏FreeBuf
NTLMRecon:一款针对Web应用NTLM认证信息的枚举工具
NTLMRecon NTLMRecon是一款针对Web应用NTLM认证信息的枚举工具,如果目标Web节点启用了NTLM认证功能,那么广大研究人员就可以使用NTLMRecon来枚举目标相关信息。 工具概览 NTLMRecon可以搜索到启用了NTLM的Web节点,然后向其发送伪造的认证请求,并能够尝试从NTLMSSP响应中枚举出下列信息: 1、活动目录域名 2、服务器名 3、DNS域名 4、FQDN 5、父DNS域 由于NTLMRecon利用了一个Python脚本来实现NTLMSSP,这样可以在每次扫描成功之后消除Nmap NSE http-ntlm-info的运行开销。 通用安装 首先,使用下列命令将项目源码克隆至本地: git clone https://github.com/sachinkamath/ntlmrecon/ 建议大家在虚拟环境中使用该文件,安装Virtualenv 节点 —infile INFILE 传递本地输入文件 —wordlist WORDLIST 使用自定义字典覆盖内部字典 —threads THREADS 设置线程数量 (默认为10
99130发布于 2020-03-31 - 来自专栏python3
NGINX 配置本地HTTPS(双向认证)
双向认证 双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,具体过程如下: ? ssl_verify_client on; #双向认证 ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 MD5:!RC4:! ssl_verify_client on; #双向认证 ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 MD5:!RC4:!
4.3K30发布于 2020-02-27 - 来自专栏服务器大本营
Windows系统安全策略设置之本地NTLM重放提权
经安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌
39710编辑于 2024-02-21 - 来自专栏开源部署
使用vsftpd服务传输文件(匿名用户认证、本地用户认证、虚拟用户认证)
vsftd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。 匿名开放模式: 是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。 本地用户模式: 是通过Linux系统的本地账户密码信息进行认证,相较于匿名开放模式更安全。但是如果被×××破解了账户的信息,就可以畅通无阻登录FTP服务器,从而完全控制整台服务器。 虚拟用户模式: 是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用 本地用户模式 之前用的是匿名开放模式,现在关了,然后开启本地用户模式。创建一个本地用户zhangsan进行测试。 guest_enable=YES //开启虚拟用户模式 guest_username=virtual //指定虚拟用户账户 pam_service_name=vsftpd.vu //指定PAM文件 第5步
3K50编辑于 2022-07-25 SCCM横向移动之利用SCCM强制进行NTLM认证
SCCM客户端下发安装机制在SCCM中,服务器可以对机器进行客户端下发安装,这个过程是通过WMI远程管理实现的,而且实现软件分发的配置账户需要是本地管理员组或者域管理员组中的成员。 利用SCCM强制NTLM认证的前提条件当SCCM启用自动站点分配和自动客户端推送安装功能时,若未明确禁用NTLM身份验证的回退(默认设置),并且客户端身份验证不需要PKI证书(默认设定),以及目标管理点必须能够通过 图形用户界面,文本,应用程序描述已自动生成
图1-2边界组站点分配设置 实施NTLM强制认证以横向移动满足上述条件后,我们可以通过NTLM强制认证来进行横向移动。 ,如图1-5所示。! 表格描述已自动生成图1-5目标机器成功执行notepad命令 12910编辑于 2026-01-19- 来自专栏HACK学习
Windows认证及抓密码总结
同时,Windows Access Token记录着某用户的SID、组ID、Session、及权限等信息,也起到了权限认证的作用。 其中,NTLM认证主要有本地认证和网络认证两种方式。 本地登录时,用户的密码存储在%SystemRoot%\system32\config\sam这个文件里。当用户输入密码进行本地认证的过程中,所有的操作都是在本地进行的。 NTLM的认证过程是怎样什么? 首先是本地认证,也就是NTLM Hash的生成方式。 当用户注销、重启、锁屏后,操作系统会让winlogon显示登录界面,也就是输入框。 看明白本地认证的过程后,再说一下网络认证的具体过程。 NTLM v1的Challenge有8位,NTLM v2的Challenge为16位。NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。 3.
2K40发布于 2019-08-06 - 来自专栏Java实战博客
5、Openresty本地缓存
Openresty本身也支持开辟内存添加共享缓存的空间,操作api与redis一致 本地缓存的作用 减少查询redis、mysql的操作,实际redis也很快,但是毕竟有网络开销。 本地缓存会更快一些! so;;"; # ① 开启本地共享缓存,会占用内存:150mb 缓存名mycache,自定义 lua_shared_dict mycache 128m; # 在这里配置 ngx.share.XXX local getCache = ngx.shared.mycache; -- 读取数据 local name = getCache:get('name') ngx.say('第一次读取本地缓存 -- 读取数据 local name = getCache:get('name') ngx.say('第二次读取本地缓存!'
1.4K20编辑于 2022-08-24 - 来自专栏HACK学习
内网渗透|HASH与横向移动
本地认证 既然是获取hash就需要一些基础知识,这里首先说以下本地认证。 在Windows中,密码Hash称之为NTLM Hash,这个NTLM是一种网络认证协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。 在本地认证的过程中,其实就是将用户输入的密码转换为NTLM Hash与SAM中的NTLM Hash进行比较 假设我的密码是admin,那么操作系统会将admin转换为十六进制,经过Unicode转换后, -> MD4 = 209c6174da490caeb422f3fa5a7ae634 本地认证中主要可以概括为以下三步:winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证 值得注意的是: •Net-NTLM hash和NTLM hash不是一回事。•Net-NTLM hash是Net-NTLM认证过程客户端第二次发送给服务端的包中的response字段。
1.4K40发布于 2021-08-13 - 来自专栏Cyber Security
【内网安全】横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
由于该Relay攻击要涉及到NTLM认证和Net-NTLM Hash,所以我们先来了解一下NTLM认证过程和什么是Net-NTLM Hash。 在下面的NTLM认证过程中你可以知道Net-NTLM Hash产生的过程。 服务器在收到 TYPE 3 的消息之后,用自己密码的 NTLM-Hash 对 Challenge 进行加密,并比较自己计算出的 Net NTLM-Hash 认证消息和客户端发送的认证消息是否匹配。 该请求的内容包含:用户名、原始的 Challenge 和 加密后的Challenge(也就是Net NTLM-Hash)。 5. 横向移动-NTLM中继攻击-Relay重放-SMB上线 条件 通讯双方当前用户和密码一致 例如 webserver中有本地用户administrator/admin!
75010编辑于 2024-07-18 - 来自专栏黑白天安全团队
内网协议NTLM之NTLM基础
本地认证的流程 winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证) Windows Logon Process(即 winlogon.exe),是Windows NT NTLM的认证过程是怎样什么? NTLM Hash是怎么样生成的呢? ,它容易与NTLM混淆,NTLM是一种网络协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。 2.构建一个blob信息 3.使用16字节NTLMv2哈希作为密钥,将HMAC-MD5消息认证代码算法加密一个值(来自type 2的Challenge与Blob拼接在一起)。 在域环境在中可以使用Kerberos和NTLM认证方式来对用户认证,域内一般情况下都是使用Kerberos认证作为默认方式。
1.9K20发布于 2021-04-07 - 来自专栏ffffffff0x
浅谈windows认证原理
[1.png] --- 本地认证 在 Windows 系统中本机用户的密码 Hash 是放在本地的 SAM 文件里面,域内用户的密码 Hash 是存在于域控的 NTDS.DIT 文件里。 用于本地安全和登陆策略。 网络认证 在内网渗透中,经常遇到工作组环境。 Net-NTLM hash NTLM 是一种网络认证协议,以 NTLM Hash 作为凭证进行认证。 Net-NTLM Hash:NTLMv1 的主要加密算法是 DES,NTLMv2 的主要加密算法是 HMAC-MD5。 --- 总结 本文解释了windows的认证机制,包括本地认证和网络认证,并且演示了使用mimikatz抓取系统认证的场景。受篇幅限制,Kerberos,pth、ptt、ptk这些内容需下次介绍。
2.2K42发布于 2020-12-28 - 来自专栏谢公子学安全
NTLM协议详解
4)Authenticate认证包。 5)返回成功与否。 6)签名。 (2) Net-NTLM v2 Hash计算 2. 当用户输入密码进行本地认证的过程中,所有的操作都是在本地进行的。系统将用户输入的密码转换为NTLM Hash,然后与SAM文件中的NTLM Hash进行比较,相同说明密码正确,反之错误。 · NTLMv2 Hash = HMAC-MD5(unicode(hex((upper(UserName)+DomainName))), NTLM Hash) · NTProofStr = HMAC-MD5 打开本地安全策略——>安全设置——>本地策略——>安全选项——网络安全: LAN管理器身份验证级别,默认其值是没有定义。没有定义的话,就是使用的默认值。 如下操作开启目标主机支持NTLM v1响应: 打开本地安全策略——>安全设置——>本地策略——>安全选项——>网络安全: LAN管理器身份验证级别。
7.4K51编辑于 2023-02-27 - 来自专栏黑白天安全团队
windows的认证方式
同时,windows Access Token记录着用户的SID、组ID、Session、及权限等信息,也起到了权限认证的作用。其中NTLM认证主要有本地认证和网络认证两种方式。 本地登陆时用户密码存储在SAM文件中,可以把它当作一个存储密码的数据库,所有的操作都在本地进行的。它将用户输入的密码转换为NTLM Hash,然后与SAM中的NTLM Hash进行比较。 它用于本地安全和登陆策略。 NTLM前身LM Hash LM与NTLM协议的认证机制相同,但是加密算法不同。目前大多数的windows系统都采用了NTLM协议认证,LM协议现在基本已经淘汰了。 • 48-D7-EB-91-2F-5E-69-7C-AA-D3-B4-35-B5-14-04-EE windows网络认证 windows网络认证 在工作组中,无论是局域网中的一台机器还是很多机器,它们能够通信的话都无法相互建立一个完美的信任机制 Net-NTLM Hash:NTLM v1的主要加密算法是DES,NTLM v2的主要加密算法是HMAC-MD5。
3.1K40发布于 2020-04-28 - 来自专栏全栈工程师修炼之路
Windows认证原理解析基础入门
回到正题由于当前PC常使用的系统版本基本都是Windows 7 / Windows 10,所以下认证情况都是基于该系统版本来说明的(作一个简单的了解): 1.本地登录认证 描述:当我们在本地登录认证时输入密码凭据登陆系统会首先将输入的凭据转换加密成 #Lsass.exe 是 用于微软Windows系统的安全机制它用于本地/远程安全和登陆策略,它会与我们SAM进行相互作用将本地或者远程身份认证的用户信息都会保存在其内存地址中。 Hashes (也称为 NT Hashes) 主要用于本地认证; NTLMv1 Hashes (也称为Net-NTLMv1 Hashes) 运用了WindowsNT挑战与响应验证机制结合,主要用于网络身份认证 的值,且区分大小写)组成字符串; 2.然后计算这个字符串的Unicode十六进制字符串,使用Step1中的16字节NTLM散列作为密钥; 3.将HMAC-MD5消息认证码算法应用于Unicode十六进制字符串 3.将上面的NTLMv2散列作为密匙,将HMAC-MD5消息认证码算法应用于此字符串(Blob值与Challenge)消息产生一个16字节的HASH输出值 379a24c5f7fb068a140397f6ca2fd3d5
1.7K10编辑于 2022-09-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号