通过一个NTLM协议,完成攻防两端的重要信息收集工作!

admin
admin
admin
101411
文章
87
评论
2022年12月17日17:04:01评论45 views字数 3314阅读11分2秒阅读模式
通过一个NTLM协议,完成攻防两端的重要信息收集工作!
▌一、NTLM 协议对于攻防两端的价值
Windows 在很多接口中只要带有认证属性,基本上都是通过 NTLM 来进行的,这种情况下都能够利用。

NTLM 是基于各个协议的,在与 Windows 认证交互的过程中,NTLM 身份验证往往给出了大量的系统信息,如操作系统,主机名,版本号等等。

  • 攻击方通过该信息可以获得踩点的信息,内网横移的时候可以快速的进行资产的梳理,通过主机名也可以对该机器的账号密码做爆破等等;
  • 防守方通过该信息可以直接拿到攻击者服务器的信息,对收集线索、溯源等有很大的帮助。

通过 NTLM 可以远程获取大量关于当前机器的系统信息,本文将通过抓包的方式对 NTLM 协议进行介绍,同时对 FOFA 中已集成的 NTML 解析进行实战演示。

▌二、什么是NTLM?

NTLM 是 NT LAN Manager 的缩写,是 Microsoft 环境中使用的一种身份验证协议,也是 Windows NT 早期的标准版本协议。从 Windows 2000 开始对 NTLM 进行支持,至今已经存在了 20 多年。作为全球应用最广泛的操作系统之一,在 Windows 上存在了如此之久的 NTLM 协议仍然在所有Windows系统上维护, 足以见证其强大的生命力。

该协议系列包含在 Windows Msv1_0.dll 中,微软官方对 NTLM 的详细描述为:
NTLM authentication is a family of authentication protocols that are encompassed in the Windows Msv1_0.dll. The NTLM authentication protocols include LAN Manager version 1 and 2, and NTLM version 1 and 2.The NTLM authentication protocols authenticate users and computers based on a challenge/response mechanism that proves to a server or domain controller that a user knows the password associated with an account.

  • 核心知识点:NTLM 允许用户向服务器证明自己的身份,以便用户使用该服务器提供的服务。

虽然年龄不小,但 NTLM 仍然在所有 Windows 系统上维护。大致有几点原因:

  • 强大的兼容性,兼容旧客户端;

  • NTLM 身份验证仍受支持,并且必须用于配置为工作组成员的系统的 Windows 身份验证;

  • NTLM 身份验证用于非域控制器上的本地登录身份验证。


▌三、知识点-如何提取NTLM信息?
我们先从 NTLM 的通信过程入手分析。
NTLM 使用质询/应答(Challenge/Response)过程进行用户身份验证。此过程包含三个步骤:
1. 客户端 --> 协商消息。
2. 服务器 --> 质询消息。
3. 客户端 --> 身份验证消息。

第一步,客户端发送协商消息

(案例都是以 5985WinRM 为例)客户端向服务端发送协商消息。
抓包查看对应的信息如下:
通过一个NTLM协议,完成攻防两端的重要信息收集工作!


第二步,服务端质询消息

服务器用消息进行响应,这包含服务器支持和同意的功能列表。但是,最重要的是,它包含服务器产生的 Challenge
这个消息中包含 Target_Name、Product_Version、OS 等等,能够非常准确的提取出来主机名和操作系统的版本。
抓包查看对应的信息如下:
通过一个NTLM协议,完成攻防两端的重要信息收集工作!

官方文档:[MS-NLMP]: CHALLENGE_MESSAGE | Microsoft Learn
到这一步我们就获取到了想要的信息,介于本篇只讲NTLM对于信息收集的帮助,就不再讲此阶段的后续流程了。
接下来给大家举一个NTLM信息提取的例子。

▌四、WinRM的NTLM提取

4.1 选择过程

我们先根据NTLM的介绍,通过FOFA进行初步的筛选,查找microsoft或者NTLM相关的资产。
FOFA搜索语法:
banner="ntlm" || banner="microsoft"
通过一个NTLM协议,完成攻防两端的重要信息收集工作!
通过搜索结果我们可以看到资产数量多的惊人,我们需要进一步的筛选,从端口排名出进行分析。
可以看到 TOP5 的端口为: 80、3389、443、135、5985。这里先排除 80(http默认端口,后面再分析)、3389(rdp早已经提取)、443(https默认端口,后面再分析)、135(dcerpc早已经提取)。那么只剩一个 5985 端口,在这看到 5985 有 54w+ 的数据,我们推测它可能是 Microsoft 某个产品的默认端口,利用搜索引擎分析后,发现其为 WinRM 的默认端口。

4.2 WinRM简介

WinRM 是 Windows 远程管理,Microsoft 对 WinRM 的介绍如下:
WinRM 2.0: The default HTTP port is 5985, and the default HTTPS port is 5986.Windows Remote Management is one component of the Windows Hardware Management features that manage server hardwar.
核心知识点:winRM可在本地和远程管理服务器硬件。
我们根据前文介绍中 NTLM 的交互流程:
1. 首先我们发送 **Authorization: Negotiate TlRMTVN. AAAADw==** 进行消息协商;
2. 服务器用消息进行响应,消息大致如下:
WWW-Authenticate:NegotiateTlRMTVNTUAACAAAAHgAeADgAAAAF  HVY/dgBAAAAAA==
3. 服务器返回时用了 base64 编码,我们解码后将 Challenge 消息解析,即可获得Target_NameProduct_VersionOS 等非常丰富的信息。
亮点:该 NTLM 的交互流程已经在 FOFA 中进行集成,直接根据该语句进行搜索即可查询公开 NTLM 协议的机器。
FOFA 搜索语句:
(banner="ntlm" || banner="microsoft") && (port="5985" || port="5986")
在搜索结果页右侧的响应信息中,可以直接看到当前机器的操作系统、版本号、主机名等。
通过一个NTLM协议,完成攻防两端的重要信息收集工作!
4.3 演示及场景
NTLM 系列可以基于不同协议存在,例如:imap、http、mssql 协议等,看完文章后,大家一定要通过 FOFA 来感受一下效果:
通过一个NTLM协议,完成攻防两端的重要信息收集工作!
进阶用法:通过 NTLM 协议进行资产拓线
可以利用提取的 name 对资产进行关联:
  • 分布在同一个地方
  • 组织相同
  • 集中分布在相同的网段
  • 主机名/版本号完全相同
如图:
通过一个NTLM协议,完成攻防两端的重要信息收集工作!
▌五、结语
NTLM 为 Windows 资产提供了丰富的系统信息,我们将继续进行深度挖掘,欢迎大家基于此协议开发出更多奇思妙想的用法,更欢迎大家投稿于 FOFA,让更多人看到你的创意。
现阶段 FOFA 已经上线基于 rdp、dcerpc、winrm、imap、imaps、http、smtp 等的 NTLM 信息提取。还有很多协议等着我们去做,如:telnet、pop3 等,后续我们会持续跟进,敬请持续关注!
▌六、参考文献
https://learn.microsoft.com/en-us/windows-server/security/kerberos/ntlm-overview
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-nlmp/801a4681-8809-4be9-ab0d-61dcfe762786
https://learn.microsoft.com/en-us/windows/win32/winrm/about-windows-remote-management
▌七、End
欢迎各位白帽师傅们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。
也欢迎投稿到 FOFA,审核通过后可加 5000-10000 社区积分哦,我们在积分商城准备了好礼,快来加入微信群体验吧~~~
  • 微信群:扫描下方二维码,加入FOFA社群!获取更多一手信息!
通过一个NTLM协议,完成攻防两端的重要信息收集工作!

原文始发于微信公众号(FOFA):通过一个NTLM协议,完成攻防两端的重要信息收集工作!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月17日17:04:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过一个NTLM协议,完成攻防两端的重要信息收集工作!http://cn-sec.com/archives/1470677.html

发表评论

匿名网友 填写信息