- 综合排序
- 最热优先
- 最新优先
- 来自专栏《ATT&CK视角下的红蓝攻防对抗》
Windows安全认证机制之NTLM本地认证
NTLM本地认证1. NTLM本地登录认证 当我们在一台Windows机器上面创建用户的时候,该用户的密码会加密储存在一个SAM(Security Account Manager 安全账号管理器)中,是Windows操作系统管理用户帐户的安全所使用的一种机制 所谓的本地认证过程其实是对用户输入的密码与SAM安全管理数据库里加密的HASH值比对的过程,如图1-3所示。 -16le')print "md4加密结果 " + binascii.hexlify(hashlib.new('md4', binhex.encode('utf-16le')).digest())4.本地登录认证流程假设当 2.NTLM认证三步曲NTLM也是Windows网络认证协议的一种,其以NTLM HASH 作为凭证的方式进行认证,采用挑战/响应(Challenge/Response)的消息交换模式,NTLM认证协议分三步走
2K10编辑于 2024-01-22 - 来自专栏鸿鹄实验室
Windows认证--NTLM
Windows 身份验证机制主要有NTLM和Kerberos两种,前者主要用于本地以及工作组环境,而后者主要用于域环境.还有一种LM认证,但现在基本淘汰了,在这就不再做过多的解释. HTLM Hash NTLM认证就是通过NTLM Hash进行的认证,可分为本地认证和网络认证 加密算法 将明文密码转换成16进制格式 对16进制进行unicode编码,即在每个字节之后添加0x00 对 Hash一致 本地认证 当用户进行开启、注销等需要认证的时候,windows会调用winlogon.exe接受我们输入的密码,然后会将密码交给lsass.exe,lsass.exe进程会先在内存中存储一份明文密码 网络认证 NTLM在网络环境中采用的是一种Challenge/Response验证机制,由三个消息组成:Type1(协商),Type2(质询),Type3(身份验证) 首先客户端向服务端发送Type1消息去协商需要认证的主体 服务端接收到Type3消息后,用自己的密码对NTLM-Hash对Challenge进行加密,并比较自己计算出的Net NTLM Hash与客户端发送的是否匹配,如果匹配则认证成功,否则认证失败.
1.6K40编辑于 2022-11-02 - 来自专栏黑白天安全团队
windows之NTLM认证
NTLM认证主要有本地认证和网络认证两种方式 本地登陆时用户密码存储在SAM文件中,可以把它当作一个存储密码的数据库,所有的操作都在本地进行的。 它将用户输入的密码转换为NTLM Hash,然后与SAM中的NTLM Hash进行比较。 网络认证则是基于一种Challenge/Response认证机制的认证模式。 windows本地认证基础知识 在本地登陆的情况下,操作系统会使用用户输入的密码作为凭据去与系统中的密码进行校验,如果成功的话表明验证通过。 NTLM的认证过程 NTLM Hash是怎么样生成的呢? 详细过程: 1.Server接收到Client发送的用户名后,判断本地账户列 表是否有用户名share_user 如果没有,返回认证失败 如果有,生成Chanllenge,并且从本地查找share_user
3.1K20发布于 2020-08-18 - 来自专栏Y5neKO博客
NTLM及Kerberos认证流程
NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2.认证流程 ①使用用户名和密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务器明文发送自己的账号 ④服务器生成一个 进行比较,如果一样则认证成功,反之则失败 本地认证 Windows不会储存用户的明文密码,而是将明文密码加密后储存在SAM中 本地认证的过程中,用户登录时,系统会将用户输入的明文密码加密成NTLM Hash ,然后和SAM中的NTLM Hash进行比较从而完成认证 用户进行任何注销操作(注销登录,重启,锁屏等),winlogon进程会显示密码输入界面,接受用户输入密码后交给lsass进程,这个进程中会保存一份明文密码 ,然后加密成NTLM Hash winlogon.exe -> 接收用户输入 -> lsass.exe -> 本地认证 NTLM Hash的生成 用户明文密码:y5neko123 十六进制转换为:79356e656b6f313233
2.2K20编辑于 2022-01-13 - 来自专栏信安本原
Windows认证 | Windows本地认证
Windows的登陆密码是储存在系统本地的SAM文件中的,在登陆Windows的时候,系统会将用户输入的密码与SAM文件中的密码进行对比,如果相同,则认证成功。 SAM文件是位于%SystemRoot%\system32\config\目录下的,用于储存本地所有用户的凭证信息,但是这并不代表着你可以随意去查看系统密码。 ? 目前在Windows中所使用的密码hash被称为NTLM hash,全称为:NT LAN Manager,它是一个由数字和字母组成的32位的值,是经过hex、Unicode、MD4三层加密后得到的。 注:winlogon是用来管理用户登陆和登出的,lsass是用于本地安全和登陆策略的 说完了NTLM hash再说一下LM hash,LM hash是NTLM hash的前身,它本身是非常脆弱的,对于它的生成规则就不多说了 值,当然SAM文件也是不允许直接拷贝和访问的,需要通过一些其他的办法来提取,最后通过彩虹表等其他的一些工具进行破解即可得到明文密码,或者通过Mimikatz读取lsass.exe进程能获得已登录用户的NTLM
2.8K20发布于 2020-03-10 - 来自专栏黑白天安全团队
内网协议NTLM之NTLM基础
SAM用于储存本地所有用户的凭证信息,但是这并不代表着你可以随意去查看系统密码。我们登陆系统的时候系统会自动读取SAM文件中的密码与我们输入的密码进行比对,如果认证相同则可以使用该机器。 本地认证的流程 winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证) Windows Logon Process(即 winlogon.exe),是Windows NT NTLM的认证过程是怎样什么? NTLM Hash是怎么样生成的呢? ,它容易与NTLM混淆,NTLM是一种网络协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。 在域环境在中可以使用Kerberos和NTLM认证方式来对用户认证,域内一般情况下都是使用Kerberos认证作为默认方式。
1.9K20发布于 2021-04-07 - 来自专栏全栈程序员必看
本地AAA认证「建议收藏」
1.1 问题 如图配置IP地址,通过AAA对远程登录用户进行控制 配置R1的AAA为本地认证和授权,通过域huawei来管理用户 配置R3的AAA为本地认证和授权,通过域 HCIE 来管理用户 配置R1 [R1-aaa-authen-auth1]authentication-mode local //通过本地密码数据库进行认证 [R1-aaa-authen-auth1]quit authorization-scheme auth2 //配置授权机制 [R1-aaa-author-auth2]authorization-mode local //通过本地密码数据库进行认证 [R3-aaa-authen-auth1]authentication-mode local //通过本地密码数据库进行认证 [R3-aaa-authen-auth1]quit authorization-scheme auth2 //配置授权机制 [R3-aaa-author-auth2]authorization-mode local //通过本地密码数据库进行认证
90331编辑于 2022-09-06 - 来自专栏FreeBuf
NTLMRecon:一款针对Web应用NTLM认证信息的枚举工具
NTLMRecon NTLMRecon是一款针对Web应用NTLM认证信息的枚举工具,如果目标Web节点启用了NTLM认证功能,那么广大研究人员就可以使用NTLMRecon来枚举目标相关信息。 NTLMRecon是一款运行速度快且扩展灵活的NTLM侦察工具,该工具无需外部依赖即可实现其功能。 工具概览 NTLMRecon可以搜索到启用了NTLM的Web节点,然后向其发送伪造的认证请求,并能够尝试从NTLMSSP响应中枚举出下列信息: 1、活动目录域名 2、服务器名 3、DNS域名 4、FQDN 通用安装 首先,使用下列命令将项目源码克隆至本地: git clone https://github.com/sachinkamath/ntlmrecon/ 建议大家在虚拟环境中使用该文件,安装Virtualenv 节点 —infile INFILE 传递本地输入文件 —wordlist WORDLIST 使用自定义字典覆盖内部字典 —threads THREADS 设置线程数量 (默认为10
99030发布于 2020-03-31 - 来自专栏谢公子学安全
NTLM协议详解
当用户输入密码进行本地认证的过程中,所有的操作都是在本地进行的。系统将用户输入的密码转换为NTLM Hash,然后与SAM文件中的NTLM Hash进行比较,相同说明密码正确,反之错误。 2 域环境下的NTLM认证 如图所示,是域环境下的NTLM 认证流程图。 域环境下NTLM认证流程可以分为如下6步: ①:客户端想要访问服务器的某个服务,需要进行身份认证。 3 NTLM v1和NTLM v2的区别 NTLM v1身份认证协议和NTLM v2身份认证协议是NTLM身份认证协议的不同版本。目前使用最多的是NTLM v2版本。 打开本地安全策略——>安全设置——>本地策略——>安全选项——网络安全: LAN管理器身份验证级别,默认其值是没有定义。没有定义的话,就是使用的默认值。 如下操作开启目标主机支持NTLM v1响应: 打开本地安全策略——>安全设置——>本地策略——>安全选项——>网络安全: LAN管理器身份验证级别。
7.4K51编辑于 2023-02-27 - 来自专栏python3
NGINX 配置本地HTTPS(双向认证)
2.公钥加密 加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥。 单向认证 Https在建立Socket连接之前,需要进行握手,具体过程如下: ? 双向认证 双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,具体过程如下: ? ssl_verify_client on; #双向认证 ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 rtsp smb smbs smtp smtps telnet tftp Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz TLS-SRP UnixSockets 请确保curl版本不能低于 7.47版本,否则会出现: 400 No required SSL certificate was
4.2K30发布于 2020-02-27 - 来自专栏Ms08067安全实验室
NTLM重放攻击
NTLM重放攻击 Kerberos域网络中,默认NTLM协议是主要的替代认证协议,几乎伴随着Kerberos协议,NTLM协议的安全性会对域网络产生重要的冲击,所以我们单独成立一个独立的章节介绍与NTLM NTLM重放攻击由最早由Dystic在2001年提出,用于攻击SMB协议的NTLM认证过程,作者发布了对应的SMBRelay攻击工具;2004年,发展为由HTTP协议重放至SMB协议的NTLM认证过程, ,便要来访者提供NTLM认证信息,攻击者将这些认证信息重放至重要的目标服务器,从而获取目标服务器的高访问权限。 注意,认证协议的具体信息和流程,与应用层协议无关,即HTTP协议中的NTLM认证、与SMB协议中的NTLM认证完全相同,这是后续跨应用层协议NTLM重放攻击的基础,例如由HTTP->SMB的重放攻击,上图中是 目前,在基于NTLM认证的模式下,采用第1种方式。
63910编辑于 2024-01-11 - 来自专栏服务器大本营
Windows系统安全策略设置之本地NTLM重放提权
经安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌
38910编辑于 2024-02-21 - 来自专栏开源部署
使用vsftpd服务传输文件(匿名用户认证、本地用户认证、虚拟用户认证)
vsftd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。 匿名开放模式: 是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。 本地用户模式: 是通过Linux系统的本地账户密码信息进行认证,相较于匿名开放模式更安全。但是如果被×××破解了账户的信息,就可以畅通无阻登录FTP服务器,从而完全控制整台服务器。 虚拟用户模式: 是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用 本地用户模式 之前用的是匿名开放模式,现在关了,然后开启本地用户模式。创建一个本地用户zhangsan进行测试。 需要注意的是7版本需要在配置文件添加“allow_writeable_chroot=YES”参数才允许本地用户登录。
3K50编辑于 2022-07-25 - 来自专栏FreeBuf
NTLM Relay Gat:自动化NTLM中继安全检测工具
关于NTLM Relay Gat NTLM Relay Gat是一款功能强大的NTLM中继威胁检测工具,该工具旨在利用Impacket工具套件中的ntlmrelayx.py脚本在目标环境中实现NTLM中继攻击风险检测 ,以帮助研究人员确定目标环境是否能够抵御NTLM中继攻击。 请确保安装并配置好下列组件和环境: 1、使用ntlmrelayx SOCKS中继端口正确配置proxychains; 2、Python 3.6+; 工具安装 由于该工具基于Python 3.6开发,因此我们首先需要在本地设备上安装并配置好 接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地: git clone https://github.com/ad0nis/ntlm_relay_gat.git cd ntlm_relay_gat 项目地址 NTLM Relay Gat: https://github.com/ad0nis/ntlm_relay_gat 【FreeBuf粉丝交流群招新啦!
37810编辑于 2024-05-30 - 来自专栏Khan安全团队
Windows 的 NTLM 中继
lsarelayx 是系统范围的 NTLM 中继工具,旨在将传入的基于 NTLM 的身份验证中继到运行它的主机。lsarelayx 将中继任何传入的身份验证请求,其中包括 SMB。 在可能的情况下,将传入的 Kerberos 身份验证请求降级为 NTLM。这将导致传统上尝试 Kerberos 身份验证的客户端回退到 NTLM。 它的主要目的是挂钩 NTLM 和 Negotiate 包,以便通过本地命名管道将身份验证请求重定向到 lsarelayx,以便中继和转储 NetNTLM 哈希。 RAW 服务器模块与协议无关,旨在直接接受来自 lsarelayx 等 3rd 方软件的原始 NTLM 消息。 [*] Setting up RAW Server on port 6666 [*] Servers started, waiting for connections lsarelayx 本身需要本地管理员权限才能运行
1.9K20编辑于 2022-01-06 SCCM横向移动之利用SCCM强制进行NTLM认证
SCCM客户端下发安装机制在SCCM中,服务器可以对机器进行客户端下发安装,这个过程是通过WMI远程管理实现的,而且实现软件分发的配置账户需要是本地管理员组或者域管理员组中的成员。 利用SCCM强制NTLM认证的前提条件当SCCM启用自动站点分配和自动客户端推送安装功能时,若未明确禁用NTLM身份验证的回退(默认设置),并且客户端身份验证不需要PKI证书(默认设定),以及目标管理点必须能够通过 图形用户界面,文本,应用程序描述已自动生成
图1-2边界组站点分配设置 实施NTLM强制认证以横向移动满足上述条件后,我们可以通过NTLM强制认证来进行横向移动。 文本描述已自动生成图1-3使用ntlmrelayx进行中继 之后我们通过SCCM的客户端安装功能来进行强制认证,执行命令及结果如图1-4所示。 文本,表格中度可信度描述已自动生成图1-4通过SharpSCCM进行强制NTLM认证 之后我们的攻击机获取到带有凭据的连接请求,并中继给了目标机器,目标机器成功执行了我们设定的命令12110编辑于 2026-01-19- 来自专栏中国白客联盟
无需Linux进行NTLM Relay
前言 在域内,有很多种手法可以获取域控权限,包括不限于利用溢出类的漏洞如ms17-010、抓取域管密码,当然也有今天的主角,利用ntlm relay。 ntlm relay手法有很多,比如利用WPAD、LLMNR等“被动性”攻击,利用打印机等“主动性”攻击,核心就是中继了他人的net-ntlm。 但是呢,利用工具监听的都是本地445端口,受害者机器与我们通信的也是445端口,而在windows上445端口是占用的,难道利用ntlm relay手法只能基于linux机器?
1.3K20发布于 2021-11-02 - 来自专栏谢公子学安全
利用PetitPotam进行NTLM Relay攻击
利用PetitPotam进行NTLM Relay攻击 2021年7月19日,法国安全研究人员Gilles Lionel披露了一种新型的NTLM Relay攻击利用手法——PetitPotam。 利用该漏洞,黑客通过连接到LSARPC强制触发目标机器向指定远程服务器发送Net-NTLM Hash,从而攻击者在拿到Net-NTLM Hash后能进行NTLM Relay攻击,进而接管整个域。 微软指出:“为了防止在启用了 NTLM 的网络上发生 NTLM 中继攻击,域管理员必须确保允许 NTLM 身份验证的服务使用诸如扩展身份验证保护 (EPA) 或签名功能(如 SMB 签名)之类的保护措施 漏洞复现 这里以CVE-2019-1040 NTLM 降级漏洞作为一个演示。 10.211.55.4 -smb2support --remove-mic选项用于清除MIC标志 --escalate-user用于赋予指定用户dcsync权限 -smb2support 用于支持SMB2协议 -t 将认证凭据中继到指定
3.5K20编辑于 2022-01-20 - 来自专栏内网安全学习笔记
通过WebDav进行NTLM Relay
0x1 前言 NTLM Relay大家已经不再陌生了,很多时候我们通过NTLM Relay进行攻击时,会受到协议签名(ldap/s、smb等协议签名)的影响从而导致攻击失败,并且随着时间的流逝 Invoke-DNSUpdate -DNSType A -DNSName evil.pentest.local -DNSData 10.0.10.128 紧接着使用ipconfig /flushdns刷新dns本地缓存后可以看到使用 Sharp -p Admin#123 -r evil.pentest.local -d 10.0.10.128 --action add ws01.pentest.local 图片 0x03 准备NTLM ,使用PetitPotam 强制WebDav服务器认证我们的攻击机,此处不可使用ip进行强制认证,使用我们先前添加的DNS解析进行强制认证,此处的@符号前为主机名,后为端口号。 0x1.域内认证 PetitPotam.exe evil@80/evil.cnf 10.0.10.110 0x2.域外认证 python3 PetitPotam.py -u sharp -p Admin
2.4K20编辑于 2023-04-17 - 来自专栏HACK学习
Windows认证及抓密码总结
1. windows的认证方式主要有哪些? windows的认证方式主要有NTLM认证、Kerberos认证两种。 同时,Windows Access Token记录着某用户的SID、组ID、Session、及权限等信息,也起到了权限认证的作用。 其中,NTLM认证主要有本地认证和网络认证两种方式。 本地登录时,用户的密码存储在%SystemRoot%\system32\config\sam这个文件里。当用户输入密码进行本地认证的过程中,所有的操作都是在本地进行的。 NTLM的认证过程是怎样什么? 首先是本地认证,也就是NTLM Hash的生成方式。 当用户注销、重启、锁屏后,操作系统会让winlogon显示登录界面,也就是输入框。 详细过程如下: 第一步,输入密码,然后LSASS会把密码的NTLM Hash后的值先存储到本地。
2K40发布于 2019-08-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号