域用户认证:指定主机名时:Kerberos协议/指定IP地址时:NTLM协议。当指定IP地址时走NTLM协议认证流程。
NTLM认证
本地认证
NTLM Hash
-
用户明文密码:y5neko123
-
十六进制转换为:79356e656b6f313233
-
转换为Unicode码,相当于在每个字节后添加一个0x00:790035006e0065006b006f00310032003300
-
以十六进制进行MD4加密:2aec2647511a853cbec96388c4ae8770
LM Hash
-
户的密码转换为大写,密码转换为16进制字符串,不足14字节将会用0来再后面补全。
-
密码的16进制字符串被分成两个7byte部分。每部分转换成比特流,并且长度位56bit,长度不足使用0在左边补齐长度
-
再分7bit为一组,每组末尾加0,再组成一组
-
上步骤得到的二组,分别作为key为KGS!@#$%进行DES加密。
-
将加密后的两组拼接在一起,得到最终LM HASH值。
认证流程
本地认证主要是发送协商信息然后服务返回challenge本地加密成NTLM Hash然后发给服务验证用户身份。
域内认证
这里保留了原有的本地认证流程新增加了NET-NTLM Hash值会发送到DC域控服务器上去,这里由域控来判断用户身份的合法性。
NTLM relay
当知道了本地NTLM认证流程后,这里最重要的就是最终生成的NET-NTLM Hash值,在本地认证过程中可能看不出来可利用的空间除开提权,当环境为域控且拥有域账号的环境时,攻击者能否截获NET-NTLM Hash值发给DC做中间人认证处理。
中继过程,这里的Attacker主机主要用来截获客户端和服务器中间的通信流量,当返回的challenge被加密返回后即生成NET-NTLM Hash值发送给服务端,这个值可以想象成web上的cookie拥有持久性
服务器返回challenge被客户端获取且被中间人截获
当challenge的值拿到之后用来和本地的NTLM加密获取新的NET-NTLM Hash,这时候就会携带Domain name用户信息,当这些个正常认证流程的数据包被重放就造成了中间人攻击,因为这时候的DC服务器回认为这是正常用户的正常请求
Kerberos认证
这其中的KDC为key的分发与验证中心,其中的TGS为票据,AS为验证票据的服务他用来给客服端赋予可访问资源权限
第一次通信
当client携带要访问主机的Name,IP,和随机时间戳信息去访问KDC下的AS服务,它会去域内的mysql数据库查询有没有指定的ip或者主机名信息,如果能访问到即返回TGT信息,这里的信息包含CT_SK相当于token,短时间身份的标识码。
第二次通信
在第一次的基础上获取到了TGT,而现在只需要把TGT传给TGS服务来分发高权限票据即可,所以这里传递的数据是TGT和CT_SK的值,同样的TGS还是会去msql数据库内查询有没有这样的IP信息,如果有的话返回server加密的ST值,这个ST的导向就是访问一个服务所需要的IP地址信息。
第三次通信
当用户接收到了ST票据后,再把ST票据通过CS_REQ加密传递给server服务器上去,服务器接收到了ST值后会去解密里面的值,这时候它会去比对CS_CK内的明文值是否为自己主机的真实信息,如果是则返回相应包给client通过验证,至此Kerberos认证结束。
本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
原文始发于微信公众号(巢安实验室):域内用户认证理论
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论