玉溪网站制作,建设网站需要设备,广州网站推广模板,在线留电话的广告NTLM#xff08;NT LAN Manager#xff09;
NTLM协议是在Microsoft环境中使用的一种身份验证协议#xff0c;它允许用户向服务器证明自己是谁#xff08;挑战#xff08;Chalenge#xff09;/响应#xff08;Response#xff09;认证机制#xff09;#xff0c;以便…NTLMNT LAN Manager
NTLM协议是在Microsoft环境中使用的一种身份验证协议它允许用户向服务器证明自己是谁挑战Chalenge/响应Response认证机制以便使用该服务器提供的服务。NTLM协议即可以为工作组的机器提供身份验证也可以用于域环境身份验证NTLM还可以为SMB,HTTP,LDAP,SMTP等上层协议提供认证
NTLM协议发展历程
早期SMB认证协议以明文传输因此出现了安全问题后来出现了LM协议但是比较容易破解再后来出现了NTLM协议目前NTLM协议主要有两个版本,NTLM v1和NTLM v2版本区别如下
challage不同v1版本的challage是8位v2版本的是16位关于challage是什么后面会说加密算法不同v1主要加密算法是DESv2的主要加密算法是HMAC-MD5
NTLM认证大致流程
NTLM的认证分为三步
协商质询验证
协商
协商这一步比较简单客户端向服务器端发送协商消息包含了协议版本等信息
质询
客户端向服务端发送用户名信息的请求服务端接收到之后判断本地列表是否包含用户名如果有则生成一个随机数称之为challenge,使用登入用户名对应的NTML Hash加密challenge,生成challenge1 (也叫Net NTLM Hash),同时将challenge发送给客户端客户端接收到challenge之后使用将要登入账户的NTLM Hash加密生成Response然后将Response发送给服务器端
验证
服务器收到Response之后判断是否与challenge1相等如果相等则通过
个人觉得这个过程和公私钥认证的过程挺像的
LM协议与NTLM协议
在Windows系统导出密码的时候经常看到这样的密码格式
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::
其中的
AAD3B435B51404EEAAD3B435B51404EE是LM Hash31D6CFE0D16AE931B73C59D7E0C089C0是NTLM Hash
LM Hash的本质是DES加密但是现在基本都已经没有使用LM Hash
由于LM Hash加密算法的不安全性微软后面推出NTLM Hash。其与LM Hash有着不同的加密算法
从Windows Vista 和 Windows Server 2008开始默认情况下只存储NTLM Hash
用户登入的密码存储在lsass.exe进程中 右击可以转为存储文件
使用mimikatz.exe 查看hash值
mimikatz.exe sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full exit
winlogon.exe - 接收用户输入 - lsass.exe - (认证)
Kerberos
Kerberos是一种计算机网络认证协议 其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务确保通信双方身份的真实性和安全性。不同于其他网络服务Kerberos协议中不是所有的客户端向想要访问的网络服务发起请求他就能建立连接然后进行加密通信而是在发起服务请求后必须先进行一系列的身份认证包括客户端和服务端两方的双向认证只有当通信双方都认证通过对方身份之后才可以互相建立起连接进行网络通信。即Kerberos协议的侧重在于认证通信双方的身份客户端需要确认即将访问的网络服务就是自己所想要访问的服务而不是一个伪造的服务器而服务端需要确认这个客户端是一个身份真实安全可靠的客户端而不是一个想要进行恶意网络攻击的用户。
协议端口
88
Kerberos协议角色组成
客户端(Client)发送请求的一方服务端(Server)接收请求的一方密钥分发中心(Key distribution KDC)
密钥分发中心又分为两个部分分别是
AS(Authentication Server)认证服务器专门用来认证客户端的身份并发放客户用于访问TGS的TGT(票据授予票据)主要是接收客户端的请求TGS(Ticket Granting ticket)票据授予服务器用来发放整个认证过程以及客户端访问服务端时所需的服务授予票据(ticket)
Kerberos认证过程简化描述
客户端在访问每个想要访问的网络服务时他需要携带一个专门用于访问该服务并且能够证明自己身份的票据当服务端收到了该票据他才能认定客户端身份正确向客户端提供服务。所以整个流程可简化为三步
客户端向AS请求证明自己身份并且表明自己想要访问什么服务AS核实身份之后会向客户端发送TGT客户端拿到TGT之后访问TGSTGS核实客户端的TGT之后会向客户端发送ST最后客户端拿着ST去访问想要访问的服务
在域渗透中黄金票据就是伪造TGT,白银票据就是伪造ST
如果你的理解能力很强的话可以参考[1]毕淏,程晓荣.Kerberos认证协议分析与研究[J].电脑知识与技术,2017,13(27):37-3859.DOI:10.14004/j.cnki.ckt.2017.3068.
在域环境下NTLM协议与kerberos协议应用的一些问题
其实无论是在域环境下还是在非域环境下这两个协议都可以使用在域环境下到底使用哪一个主要还是由域控配置来进行选择两个协议都是windows的一种安全认证协议其应用比较广泛设置可以应用到web服务之中尽管如此但是在windows server 2008以及更高的版本中默认使用kerberos协议来进行安全认证
Windows登入认证过程
SAM文件
windows本机内是不存储明文密码的只存储Hash值本机用户的密码hash是放在本地的SAM文件里面域内用户的密码hash是存在域控的NTDS.DIT文件里面
SAM文件的路径C:\Windows\System32\config\SAM
认证流程
通过winlogon.exe获取用户输入的用户名与密码winlogon.exe将密码传递给lsass.exelsass.exe负责将密码进行加密为NTLM Hash将lsass.exe加密的NTLM Hash与本地SAM文件里面的NTLM Hash进行比较如果相同则将User SID,Group SID发送给winlogon.exe否则登入失败
相关安全问题
lsass.exe这个进程比较特殊会存储明文密码
