深入分析域内ntlm relay to adcs服务的利用(含wireshark抓包分析)

最新推荐文章于 2025-04-01 15:16:07 发布
原创 最新推荐文章于 2025-04-01 15:16:07 发布 · 848 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark #服务器 #网络

前言

2021年中旬,specterops发布了一项针对域证书服务(adcs)的利用白皮书,文档中提到了19种对adcs服务的利用。本篇主要是分析文中提出的ntlm
relay to adcs窃取证书的攻击流程,原理和抓包分析。

相关内容

ADCS介绍

Active Directory证书服务(Active Directory Certificate
Services,下文简称ADCS)可以向用户,机构和服务颁发证书,收到证书的个体可以使用证书进行域内的身份认证,本篇中要利用的是ADCS配置的WEB证书请求服务。

NTLM认证简介

NTLM协议是windows系统的一项身份认证协议,NTLM认证是一种Challenge/Response 验证机制,由三种消息组成:通常称为type
1(协商),type 2(质询)和type 3(身份验证)。

认证流程图和简单介绍如下:

  1. 用户登录客户端电脑

  2. 客户端向服务器发送type1(协商)消息,它主要包含客户端和服务器请求的功能列表,此消息会指定会话所需的安全特性

  3. 服务器使用type2(质询)进行响应,包含服务器支持和同意的功能列表。更重要的是,这一步会返回服务器生成的Server Chanllenge标志和协商的安全特性

  4. 客户端用type 3消息(身份验证)回复质询。用户接收到步骤3中的challenge之后,使用用户hash与challenge进行加密运算得到response,将response,username,challenge发给服务器

  5. 服务器拿到type 3之后,使用challenge和用户hash进行加密得到response2与type 3发来的response进行比较,结果一致则认证通过。如果服务器没有用户的哈希,则会把上述消息发送给域控,域控会使用challenge和用户哈希加密得到respons2发送给服务器,这一步在本文中不做分析

Ntlm是嵌入式协议,它没有自己的传输依赖项,常见的应用层协议有:HTTP,SMB,
HTTP。NTLM不提供服务器的身份验证,因此ntlm认证的应用程序容易受到来自欺骗服务器的攻击,这也是ntlm relayx的原因所在。

原理介绍

当攻击者能够获取到某个实体的ntlm认证请求,就可以将这份请求转发到攻击者想要访问的服务,并以该实体身份通过身份认证。在本文中,就是通过转发获取到的ntlm请求到adcs服务上,并为其申请证书,完成身份窃取。当ntlm请求的发起方是域控时,则可以获取到域控机器账户的证书,进而使用域控证书完成域认证进行DCsync,获取域管权限。

让服务器向攻击者发起ntlm请求的方案很多,在实战中的利用通常要通过网络环境分析选择,这里只简单介绍两种:

  1. **打印机漏洞:**Windows的MS-RPRN协议用于打印客户机和打印服务器之间的通信,默认情况

最低0.47元/天 解锁文章
Inveigh结合DNS v6配合NTLM Relay利用
谢公子的博客
09-05 1314
Inveigh是一个跨平台的.NET IPv4/IPv6机器渗透测试工具。
利用PetitPotam进行NTLM Relay攻击
谢公子的博客
09-18 6488
2021年7月19日,法国安全研究人员Gilles Lionel披露了一种新型的NTLM Relay攻击利用手法——PetitPotam。该漏洞利用了微软加密文件系统远程协议(MS-EFSRPC,MicroSoftEncrypting File System Remote Protocol)。MS-EFSRPC是 Microsoft 的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据执行“维护和管理操作”。利用该漏洞,黑客通过连接到LSARPC强制触发目标机器向指定远程服务器发送Net-NTL.
ADCS攻击利用
slash_HK的博客
12-23 4977
一万字呕心沥血,全站最详细ADCS攻击利用方法及细节复现,包括服务器配置等,细节满满,支持走一波,也欢迎各位师傅斧正。
ADCS知识点全收录! 如何利用证书服务器对域控进行多角度攻击(上)
小司机的奥拓
07-26 748
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
ADCS-ESC3漏洞环境构造与利用,从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
04-01 823
ESC3漏洞就像一个定时炸弹,一旦配置不当,就会给黑客留下可乘之机。所以,一定要重视证书颁发过程中的配置安全,避免出现任何疏漏。修复建议:严格控制证书模板的注册权限,不要随意开放给Authenticated Users。禁止不必要的证书申请代理策略,避免被恶意利用。确保CA服务器的配置安全,定期检查并更新。及时修补ADCS服务相关漏洞,亡羊补牢,为时未晚。记住,安全不是一句口号,而是需要我们时刻警惕,并付诸行动的责任!黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程。
渗透技巧——利用netsh抓取连接文件服务器NTLMv2 Hash
sinolover的专栏
01-15 1674
0x00 前言 在上篇文章《Windows下的密码hash——NTLM hash和Net-NTLM hash介绍》比较了NTLM hash和Net-NTLM hash的区别,本文将继续对Net-NTLM hash在内网渗透中的应用作介绍,解决一个有趣的问题:如果获得了内网一个文件服务器的权限,如何获得更多用户的口令? 0x01 简介 本文将要介绍以下内容: 在windows平台下不安装任...
有签名和无签名ntlm relay攻击实验的数据包,ntlm relay攻击实验用
10-20
然而,NTLM协议在设计上存在一些缺陷,这些缺陷可被利用来进行NTLM中继攻击(NTLM Relay Attack)。攻击者通过中继攻击,可以在不直接破解密码的情况下,截获和重放认证信息,从而实现对内网的非法访问。 在进行...
内网渗透—横向移动&NTLM-Relay重放攻击&Responder中继攻击
2301_76227305的博客
08-24 1103
可以看到整个实验下来我是没有抓取hash或者密码的,但是仍可以成功横移的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
深入分析CVE-2022-26923 ADCS权限提升漏洞
谢公子的博客
05-26 3420
目录 漏洞背景和描述 基础知识 ADCS服务搭建&LDAPS配置 PKI公钥基础设施 CA证书颁发机构 PKINIT Kerberos认证 证书模板 用户模板 计算机模板 证书注册 漏洞原理 用户模板 实验一 实验二 实验三 实验四 实验五 实验六 实验七 原理总结 计算机模板 实验一 实验二 实验三 实验四 实验五 原理总结 漏洞复现 定位证书服务器 域内 域外 创建机器用户 请求证书 认证获得域控hash 导出域内任意用户哈希
EAP认证有线及无线侧抓包
05-28
EAP认证有线及无线侧的wireshark和OmniPeek抓包,包密钥协商过程
ADCS渗透
qq_18811919的博客
10-10 2536
内网渗透-ADCS
没有人比我更了解NTLM协议
weixin_65550121的博客
12-10 2281
其实简单来说,就是客户端去访问SMB服务的时候,需要输入服务端的账号和密码,来进行校验身份,此时客户端会将服务端的密码存储在自己的本地中,然后当服务端发送过来的质询消息中包质询值发送过来的时候,客户端会将之前保存服务端的那个密码的hash,对这个质询值进行加密加密之后封装成认证消息发送给服务端,服务端紧接着用自己的密码也对质询值进行加密。没有定义的话,就是使用的默认值。②:服务端接收到客户端发送过来的Type 1消息后,会读取其中的内容,并从中选择出自己所能接受的服务内容,加密等级,安全服务等。
内网渗透(八十五)ADCS证书服务攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-28 1374
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
tcpdump+wireshark分析数据笔记(2)
weijitao的博客
10-24 1203
TCP建立连接 图1中编号为3、4、5的是TCP建立连接的包,是TCP建立的三次握手的过程。PC2作为server端,启动监听程序,监听端口65044,一开始处于LISTEN状态。 图1 客户端发送SYN 图4 三次握手之第一次握手 TCP连接的建立需要三次的握手,图4是三次握手的第一次握手。PC1作为client端,发送一个SYN段指明打算连接的服务器端PC2。
Wireshark抓认证包破解哈希算法
qq_64787896的博客
03-24 485
在Win2012上创建test文件并开启文件共享。主机访问Win2012(清除之前的连接记录)开启wireshark抓包并过滤流量。解密hash值,密码为123456。得到主机名为admin,没有域名。
Net-NTLMv2窃取----By Outlook NTLM Leak
luoxiayan的博客
09-15 348
3月14日星期二,微软发布了83个安全补丁,包括CVE-2023-23397。CVE-2023-23397影响所有受支持的Outlook Windows版本,但不影响Android、iOS或macOS版本。此外,由于Outlook on the web和Microsoft 365等在线服务不支持NTLM身份验证,因此它们不易受到利用NTLM中继漏洞的攻击。与大多数漏洞不同,它是一个zero-click漏洞,这意味着不需要任何用户交互就可以触发它。
通过 NTLMv2 获取凭据 / 触发NTLMv2请求的几种途径
-
05-21 826
通过 NTLMv2 获取凭据 / 触发NTLMv2请求的几种途径
ARM学习第一天——tftp、nfs、wireshark配置问题处理方法
ME_Gao的博客
01-15 813
1、解决安装好了tftp后netstat -a | grep tftp无反应 原因一:DNS配置 命令setup->network configuration->edit dervices->eth(0) 原因二:管道符“|”前后均有空格 2、配置nfs不能添加smb用户(Failed to modify password entry for user) 原因一:smbpasswd -
ntlm relay 原理
09-17
NTLM Relay 是一种攻击技术,利用NTLM(Windows 网络身份验证协议)的漏洞。该攻击允许黑客在网络中伪装成受害者与服务器进行通信,从而获取敏感信息或执行一些恶意操作。 NTLM Relay 攻击的原理如下: 1. 受害计算机通过 NTLM 协议与服务器进行身份验证。在此过程中,受害计算机和服务器之间会进行一系列的挑战-响应验证,包括凭据传递和会话密钥生成。 2. 黑客在网络中进行监听,并截获受害计算机与服务器之间的 NTLM 通信数据。这可以通过中间人攻击或通过 ARP 欺骗攻击完成。 3. 黑客将截获的 NTLM 通信数据传输给目标服务器,冒充受害者的身份服务器进行通信。 4. 目标服务器接收到黑客发送的伪造的验证请求并验证其身份。由于黑客已经截获到了真实的 NTLM 通信数据,因此服务器会认为该请求来自于受害者。 5. 服务器将响应返回给黑客,并黑客将该响应转发给受害计算机。 6. 受害计算机将响应解密并发送给黑客。 通过 NTLM Relay 攻击,黑客可以实施多种恶意操作,例如获取受害者的用户名和密码、执行远程命令、篡改数据等。这种攻击技术在企业中尤其危险,因为它可能导致黑客获取管理员权限并在网络中横向移动,进一步危害整个系统的安全。 为了防止 NTLM Relay 攻击,企业应采取以下措施:禁用 NTLM 认证、启用 Kerberos 认证、使用防火墙限制对 NTLM 端口的访问、使用多因素身份验证、及时修补操作系统中的漏洞并使用最新版本的软件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值