域内用户认证理论

admin 2024年2月21日22:32:21评论9 views字数 1845阅读6分9秒阅读模式

域用户认证:指定主机名时:Kerberos协议/指定IP地址时:NTLM协议。当指定IP地址时走NTLM协议认证流程。

NTLM认证

本地认证

域内用户认证理论

NTLM Hash
  • 用户明文密码:y5neko123

  • 十六进制转换为:79356e656b6f313233

  • 转换为Unicode码,相当于在每个字节后添加一个0x00:790035006e0065006b006f00310032003300

  • 以十六进制进行MD4加密:2aec2647511a853cbec96388c4ae8770

域内用户认证理论

LM Hash
  1. 户的密码转换为大写,密码转换为16进制字符串,不足14字节将会用0来再后面补全。

  2. 密码的16进制字符串被分成两个7byte部分。每部分转换成比特流,并且长度位56bit,长度不足使用0在左边补齐长度

  3. 再分7bit为一组,每组末尾加0,再组成一组

  4. 上步骤得到的二组,分别作为keyKGS!@#$%进行DES加密。

  5. 将加密后的两组拼接在一起,得到最终LM HASH值。

认证流程

域内用户认证理论

本地认证主要是发送协商信息然后服务返回challenge本地加密成NTLM Hash然后发给服务验证用户身份。

域内认证

域内用户认证理论

这里保留了原有的本地认证流程新增加了NET-NTLM Hash值会发送到DC域控服务器上去,这里由域控来判断用户身份的合法性。

NTLM relay

域内用户认证理论

当知道了本地NTLM认证流程后,这里最重要的就是最终生成的NET-NTLM Hash值,在本地认证过程中可能看不出来可利用的空间除开提权,当环境为域控且拥有域账号的环境时,攻击者能否截获NET-NTLM Hash值发给DC做中间人认证处理。

域内用户认证理论

中继过程,这里的Attacker主机主要用来截获客户端和服务器中间的通信流量,当返回的challenge被加密返回后即生成NET-NTLM Hash值发送给服务端,这个值可以想象成web上的cookie拥有持久性

域内用户认证理论

服务器返回challenge被客户端获取且被中间人截获

域内用户认证理论

当challenge的值拿到之后用来和本地的NTLM加密获取新的NET-NTLM Hash,这时候就会携带Domain name用户信息,当这些个正常认证流程的数据包被重放就造成了中间人攻击,因为这时候的DC服务器回认为这是正常用户的正常请求

Kerberos认证

域内用户认证理论

这其中的KDC为key的分发与验证中心,其中的TGS为票据,AS为验证票据的服务他用来给客服端赋予可访问资源权限

第一次通信

域内用户认证理论

当client携带要访问主机的Name,IP,和随机时间戳信息去访问KDC下的AS服务,它会去域内的mysql数据库查询有没有指定的ip或者主机名信息,如果能访问到即返回TGT信息,这里的信息包含CT_SK相当于token,短时间身份的标识码。

第二次通信

域内用户认证理论

在第一次的基础上获取到了TGT,而现在只需要把TGT传给TGS服务来分发高权限票据即可,所以这里传递的数据是TGT和CT_SK的值,同样的TGS还是会去msql数据库内查询有没有这样的IP信息,如果有的话返回server加密的ST值,这个ST的导向就是访问一个服务所需要的IP地址信息。

第三次通信

域内用户认证理论

当用户接收到了ST票据后,再把ST票据通过CS_REQ加密传递给server服务器上去,服务器接收到了ST值后会去解密里面的值,这时候它会去比对CS_CK内的明文值是否为自己主机的真实信息,如果是则返回相应包给client通过验证,至此Kerberos认证结束。

域内用户认证理论

域内用户认证理论

本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!

敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

原文始发于微信公众号(巢安实验室):域内用户认证理论

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月21日22:32:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   域内用户认证理论https://cn-sec.com/archives/2510250.html

发表评论

匿名网友 填写信息