NTLM认证

已于 2023-05-11 15:32:12 修改
阅读量1.1w 收藏 32
点赞数 4
分类专栏: 内网渗透 文章标签: 安全 服务器
于 2022-03-06 23:09:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_49183673/article/details/123312442
版权

NTLM(NT LAN MANAGER)是一种网络认证协议,它是基于挑战(Challenge)/响应(Response)认证机制的一种认证模式。

NTLM使用在Windows NT和Windows 2000 Server(or later)工作组环境中(kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLM。

NTLM协议的认证过程分为三步:

1、协商:主要用于确认双方协议版本(NTLM v1/NTLM v2)

2、质询:就是挑战/响应认证机制起作用的范畴

3、验证:验证主要是在质询完成后,验证结果,是认证的最后一步

质询的完整过程:

1、客户端向服务端发送用户信息(用户名)请求

2、服务器接受到请求,判断本地账户列表是否有用户名,如果有,生成一个16位的随机数,被称之为“Challenge”,使用登陆用户名对应NTLM Hash加密Challenge(16位随机字符),生成Challenge1,生成一个Net-NTLM Hash存在内存中,同时,生成Challenge1后,将Challenge(16位随机字符)发送给客户端。

3、客户端接收到Challenge后,使用将要登陆的账户对应的NTLM Hash加密Challenge生成Response,然后将Response发送至服务器端。

4、验证,服务器接收到客户端的Response后,对比Challenge1与Response是否相等,若相等,则认证通过。

ps:

1、Challenge是Server产生的一个16字节的随机数,每次认证随机数都不同

2、Response的表现形式是Net-NTLM Hash,它是由客户端提供的密码Hash加密Server返回Challenge产生的结果

NTML认证方式

1、交互式认证:使用域账号登陆到客户端;涉及到两部分(客户端、域控)

2、非交互式认证:在已登陆的客户端上使用SSO的方式访问一台服务器;涉及三部分(客户端、域控、服务器) 

Hash类型

1、LM HASH:LM Hash是一种比较古老的Hash,在LAN Manager协议中使用,非常容易通过暴力破解获取明文凭据。Vista以前的Windows OS使用它,Vista之后的版本默认禁用了LM协议,但某些情况下还是可以使用。

2、NTLM HASH:Vista以上现代操作系统使用的Hash。通常意义上的NTLM Hash指存储在SAM数据库及NTDS数据库中对密码进行摘要计算后的结果,这类hash可以直接用于PTH,并且通常存在于lsass进程中。

3、NET-NTLM HASH:Net-NTLM Hash用于网络身份认证(例如ntlm认证中),目前分为两个版本Net-NTLM v1和Net-NTLM v2;两个版本认证方式相同,但加密方式不同(net-ntlmv1 challenge8位,net-ntlmv2 challenge16位)

NTLM Hash产生方式

LM Hash 与 NTLM的关系:

1、在NTLM协议问世前,它的前身就是LM(LAN Manager)协议

2、不同点:加密算法

3、相同点:认证机制

4、目前大多数的Windows都采用NTLM协议认证,LM协议已经基本淘汰。

NTLM Hash产生:假设我们的密码是admin,那么操作系统会将admin转换为十六进制,经过Unicode转换后,再调用MD4加密算法加密,这个加密结果的十六进制就是NTLM Hash。

password ==> hex ==> Unicode ==> MD4 ==> NTLM Hash

NTLM系统下的hash密码格式

用户名称:SID:LM-HASH值:NT-HASH值

Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::

LM Hash是AAD3B435B51404EEAAD3B435B51404EE这表示空密码或者是未使用LM_HASH;

Hash一般存储在两个地方:1、SAM文件,存储在本机对应本地用户来;2、NTDS.DIT文件,存储在域控上对应域用户。

域中NTLM认证

在域中,NTLM认证多了一个角色:服务器

1、首先在client输入username,password和domain,然后client会把password hash后的值先缓存到本地,之后,client把username的明文发送给DC

2、DC会生成16字节的随机数,即challenge,再传回给client

3、当client收到challenge后,会先复制一份出来,然后和缓存中的密码hash再一同混合hash一次,混合后的值称为response,之后client再将challenge,response及username一并传给server

4、server端在收到client传过来的这三个值后,会把它们都转发给DC

5、当DC接收到过来的三个值后,会根据username到域控的账号数据库(ntds.dit)里面找到该username对应的hash,然后把这个hash拿出来和传过来的challenge值再混合hash

6、将混合后的hash值跟传来的response进行比较,相同则认证成功,反之,认证失败;如果是本地登陆,所有验证肯定也全部直接在本地进行

3.3-Windows网络认证之基于挑战响应认证NTLM协议
qq_38122566的博客
03-11 419
在平时的测试中,经常会碰到处于工作组的计算机,处于工作组的计算机之间是无法建立一个可信的信托机构的,只能是点对点进行信息的传输。举个例子就是,主机A想要访问主机B上的资源,就要向主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允许主机A进行相应的访问。NTLM 协议是一种基于 挑战(chalenge)/响应(Response)认证机制,仅支持Windows的网络认证协议.。
NTLM认证01】NTLM 协议详解
总有人间一两风,填我十万八千梦
12-09 401
NTLM 协议运行在应用层,主要用于验证用户身份,它本身不负责资源共享、数据传输或服务提供。因此,NTLM 协议通常与其他应用层协议(如 SMB、RDP)一起使用。在这些协议中,NTLM 主要负责身份验证,而数据传输和资源共享等功能则由 SMB、RDP 等协议负责。
NTLM认证原理及其过程
2ed
11-19 8560
windows认证协议主要有以下两种: 基于ntlm认证方式,主要用在早期的windows工作组环境中,认证的过程也相对比较简单、 另一种是基于Kerberos的认证方式,主要用在域环境中 NTLM认证 正在上传…重新上传取消 以下步骤刻画了 NTLM 非交互式认证过程, 第一步中提供了用户的 NTLM 认证信息,该步是用户交互式认证(Logon)过程的一部分。 (...
NTLM认证过程
Purpose_7的博客
07-30 973
NTLM 步骤说明: 客户端缓存密码的哈希值,丢弃原始密码 客户端向服务器发送明文形式的用户名 服务器端生成一个16位的随机数,作为challenge发送给客户端 客户端使用密码的哈希值加密challenge,并将结果(response)返回给服务器服务器端将收到的用户名、原始challenge、客户端返回的response发送给DC(域控制器) ②DC从SAM库中找到该用户名对应的密码散列值 ③DC使用从SAM库中获取的密码散列值加密原始challenge ④比对两个challe
Microsoft NTLM认证简介
weixin_34383618的博客
03-11 178
什么是NTLM ============= Windows Challenge/Response (NTLM) 是用在包括着Windows操作系统的网络中的一种认证(authentication)协议, 也用在stand-alone系统上.   在网络环境中, Microsoft Kerberos 比NTLM添加了更多的安全性. 尽管Microsoft Kerberos 是一个不错的选择, NTL...
NTLM认证的Go Go HTTP请求-Golang开发
05-26
go-http-ntlm是一个Go程序包,其中包含用于http.Client的NTLM传输(http.RoundTripper实现),以发出NTLM身份验证受保护的http请求。 go-http-ntlm go-http-ntlm是一个Go程序包,其中包含用于http.Client的NTLM传输...
NTLM认证02】捕获 Net-NTLM 响应
最新发布
总有人间一两风,填我十万八千梦
12-09 222
当文件通过 HTTP 服务器访问时,浏览器的同源策略会限制跨域或跨协议的请求 。当浏览器访问 http://127.0.0.1/1.html 使用的是 HTTP 协议。但 \\192.168.10.17\test 是一个 UNC 路径,使用 SMB 协议进行访问。浏览器在处理资源请求时,通常不允许在 HTTP 页面中直接加载 SMB 协议的资源,因为这是跨协议请求。
Windows安全认证机制-NTLM认证流程
yyh_linux_note的博客
04-17 764
本文基于SMB连接分析NTLM认证流程
exchange邮件采用ntlm认证时的用户标识信息解析
liaomingwu的专栏
10-24 246
在exchange对邮箱用户进行身份认证时,经常采用的身份认证协议是ntlm,在邮件代理中,我们需要知道当前发送请求的用户标识信息是什么,以便决定是否具有相关的授权信息,此时就需要解析ntlm协议的数据包,从中获取执行认证的用户标识信息。
ntlm验证Java代码
04-17
里面有ntlm验证的demo 修改一下你url username passwrod 等内容应该就可以使用了 如果不可以 请抓包核查一下
Windows安全认证机制——NTLM本地认证
lurenjia404的博客
07-02 1299
Windows安全认证机制之NTLM本地认证
NTLM 认证详解
Matthew的博客
12-26 2187
To be done
【内网横向】NTLM认证
网络安全从业者的学习笔记
03-09 366
NTLM使用在Windows NT和Windows 2000 Server(or Later)工作组环境中(Kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM采用一种质询/应答(Challenge/Response)消息交换模式。
ntlm
ZFIVE5
10-26 957
http://davenport.sourceforge.net/ntlm.htmlhttp://www.innovation.ch/personal/ronald/ntlm.html
NTLM
狂飙的蜗牛
06-15 701
早期的SMB协议在网络上明文传输口令,后来出现了"LAN Manager Challenge/Response"验证机制,简称LM,它十分简单以至很容易被破解,微软随后提出了WindowsNT挑战/响应验证机制,即NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。NTLM工作流程是这样的:1、客户端首先在本地加密当前用户的密码成为密码散列2、客户端向服务器发送自己的
8.7. NTLM 身份验证
Sumarua的博客
07-30 1513
文章目录8.7. NTLM 身份验证8.7.1. NTLM认证8.7.1.1. 基本流程8.7.1.2. Net-NTLMv18.7.1.3. Net-NTLMv28.7.2. Hash8.7.2.1. LM Hash8.7.2.2. NTLM Hash8.7.3. 攻击8.7.3.1. Pass The Hash8.7.3.2. Pass The Key8.7.3.3. NTLM Relay8.7.4. 参考链接 8.7. NTLM 身份验证 8.7.1. NTLM认证 NTLM是NT LAN Manag
SMB 协议详解之-NTLM身份认证
村中少年的专栏
09-12 1508
介绍一下什么是NTLM协议,NTLM协议的交互过程,NTLM协议的实际利用案例
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值