探索内部独白攻击:无接触获取NTLM哈希的秘密
去发现同类优质开源项目:https://gitcode.com/
项目简介
Internal Monologue Attack 是一种新颖的渗透测试工具,它允许攻击者在不触及LSASS(本地安全权限子系统服务)的情况下,从Windows环境中检索NTLM(网络安全传输认证)哈希。这个项目由Elad Shamir from The Missing Link Security创建,旨在绕过Microsoft的Credential Guard保护,同时避开大多数端点防护解决方案的检测。
技术解析
工具的核心是利用NetNTLM协议,这是一种在Kerberos不支持时使用的挑战响应协议。特别是针对NetNTLMv1版本,其弱点在于采用DES加密,通过三次加密实现身份验证,这为“Divide and Conquer”攻击提供了可能。攻击者可以利用定制的硬件或彩虹表在短时间内破解NTLM哈希。
Internal Monologue Attack 进一步发展了NetNTLM降级攻击的概念,通过修改注册表设置强制系统使用NetNTLMv1进行身份验证,然后本地调用NTLM认证包(MSV1_0),模拟目标用户的网络登录过程,从而获取NetNTLM响应并计算对应的NTLM哈希。
应用场景
- 网络安全研究:理解和测试现代企业环境的安全性,评估防御措施的有效性。
- 渗透测试:在合法授权下,帮助IT团队发现潜在的安全漏洞,提高系统的安全性。
- 教育培训:教授安全专业人士如何识别和应对这种类型的攻击。
项目特点
- 绕过限制:能在启用Credential Guard的环境中执行,无需注入代码或读取LSASS内存。
- 隐蔽性强:通过本地SSPI与NTLM SSP交互获取响应,无明显网络活动,不易被审计追踪。
- 可定制化:C#编写,易于扩展和调整,可移植到PowerShell等其他脚本语言。
- 社区驱动:接受并欢迎贡献和改进,持续优化和完善攻击策略。
总结而言,Internal Monologue Attack 是一个强大的工具,揭示了系统安全性中的新脆弱环节,并提供了一个安全研究人员和渗透测试人员不可忽视的测试平台。尽管其设计目的是为了提升网络安全水平,但同时也提醒我们,防御手段的升级是永恒的主题。
去发现同类优质开源项目:https://gitcode.com/
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
