Windows安全认证机制-NTLM认证流程

原创 已于 2024-04-17 16:25:13 修改 · 924 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-04-17 16:24:37 首次发布
本文介绍了NTLM(NT LAN Manager)认证协议,详细解析了Net-NTLM Hash的概念,以及NTLM认证的三个主要步骤:客户端发送类型1消息获取挑战码,服务器返回挑战并接收类型3消息进行验证。通过Wireshark包分析了认证流程。

NTLM定义

1、NTLM是NT LAN Manager的缩写,即问询/应答(Challenge/Response)身份验证协议,是 Windows NT早期版本的标准安全协议。
2、⽤于验证远程机器⽤户的⽹络协议,它也被称为Net-NTLM。

Net-NTLM Hash

简单来说,Net-ntlm hash就是ntlm hash再做了一层hash加密。

以下是通过smb共享连接获取的wireshark包,可以比较明确的看到ntlm认证的流程
如有写的不对的地方,请大家指正,我会立马修改!!!

1、NTLM认证流程图

在这里插入图片描述

2、认证步骤

1、首先在客户端中输入username,password和domain,然后客户端会把密码进行Hash后的值先缓存到本地。
2、在连接服务器的时候,客户端会默认向服务端发起一次请求type1,用来获取server向域控请求的挑战码。
3、DC会生成一个16字节的随机数,也就是挑战码(Challenge),然后再通过server传回给Client。
4、当Client收到挑战码以后,会先复制一份,然后和缓存中的密码Hash(ntlm hash)再一同混合Hash一次,混合后的值称为response(NET-ntlm hash),之后Client再将challenge,response以及username一并都传给server。
5、Server端在收到client传过来的这三个值以后会把它们都转发给DC。
6、当DC接到过来的这三个值的以后,会根据username到域控的账号数据库(ntds.dit)里面找到该user

最低0.47元/天 解锁文章
NTLM认证01】NTLM 协议详解
渗透之路,攻防之间皆学问
12-09 706
NTLM 协议运行在应用层,主要用于验证用户身份,它本身不负责资源共享、数据传输或服务提供。因此,NTLM 协议通常与其他应用层协议(如 SMB、RDP)一起使用。在这些协议中,NTLM 主要负责身份验证,而数据传输和资源共享等功能则由 SMB、RDP 等协议负责。
NTLM认证原理及其过程
2ed
11-19 8668
windows认证协议主要有以下两种: 基于ntlm认证方式,主要用在早期的windows工作组环境中,认证的过程也相对比较简单、 另一种是基于Kerberos的认证方式,主要用在域环境中 NTLM认证 正在上传…重新上传取消 以下步骤刻画了 NTLM 非交互式认证过程, 第一步中提供了用户的 NTLM 认证信息,该步是用户交互式认证(Logon)过程的一部分。 (...
Windows安全认证机制——NTLM本地认证
lurenjia404的博客
07-02 1647
Windows安全认证机制NTLM本地认证
NTLM认证
西敏寺的乐章的博客
04-21 992
NTLM是一种网络认证协议,与 NTLM Hash的关系就是:NTLM网络认证协议是以 NTLM Hash 作为根本凭证进行认证的协议,NTLM是一种基于质询/应答 (Challenge/Response )消息交换模式的认证机制,常用于工作组和域环境下登录场景的身份认证。首先,用户注销、重启、锁屏后,操作系统会让 winlogon显示登录界面,也就是输入框,接收输入后,将密码交给 lsass进程,这个进程将明文密码加密成NTLM Hash,对比 SAM数据库中的 Hash进行验证。
NTLM验证过程
weixin_33804582的博客
08-23 261
参考文献: Microsoft NTLM Kerberos连接过程 正文 NTLM有Interactive和Noninteractive两种,Interactive就是用户登录类型的,只有client和DC两个参与者,而Noninteractive则是Client要去连接一个Server。在Microsoft NTLM给出了NTLM的Noninteractive验证过程,有如下7步过程: ...
NTLM认证过程
Purpose_7的博客
07-30 1022
NTLM 步骤说明: 客户端缓存密码的哈希值,丢弃原始密码 客户端向服务器发送明文形式的用户名 服务器端生成一个16位的随机数,作为challenge发送给客户端 客户端使用密码的哈希值加密challenge,并将结果(response)返回给服务器 ①服务器端将收到的用户名、原始challenge、客户端返回的response发送给DC(域控制器) ②DC从SAM库中找到该用户名对应的密码散列值 ③DC使用从SAM库中获取的密码散列值加密原始challenge ④比对两个challe
WINDOWS认证(1)-------NTLM协议
jklove9的博客
02-18 1005
在内网渗透过程中,通常会遇到工作组的环境,而工作组环境事实上是一个逻辑上的网络环境(工作区),隶属于此工作组的机器之间是无法互相建立一个完美的信任机制的,只能点对点(认证方式较为落后)的方式,没有第三方可信机构。其实哈希传递本质上就是利用用户名对应的NTLM Hash将服务器给出的Challenge加密,生成一个Response,来完成认证,(没有用户名,就不会有Challenge,那么NTLM hash就无用武之地)哈希传递攻击的前提:有管理员的 NTLM Hash ,并且目标机器开放445端口。
内网渗透——WINDOWS认证机制NTLM
我们为什么能在这里遇到?
09-28 2048
域渗透就是基于windows域环境的渗透,而域渗透涉及到的技术,如哈希传递(PTH)票据传递(PTT)委派攻击等,都是基于域环境下的认证机制来实现的,这也是为什么要了解Windows认证机制的原因之一 Windows认证包括三个部分,用户直接操作计算机登陆账户(本地认证),远程连接到工作组中的某个设备(网络认证),登陆到域环境中的某个设备(域认证) 参考:zresx 参考:3gstudent 本地认证 NTLM 本地认证十分简单:用户输入密码,系统收到密码后将用户输入的密码计算成NTLM Hash,然后与
前端开源库-express-ntlm
08-30
res.status(401).send('请提供NTLM认证'); } }); app.listen(3000, () => { console.log('NTLM服务器正在运行在端口3000'); }); ``` ### 应用场景 `Express-NTLM`特别适用于以下情况: 1. **企业环境**:在...
[内网渗透]—NTLM网络认证NTLM-Relay攻击
Sentiment的博客
12-16 2296
Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证
Ntml hash认证流程
只有不断学习才不会被茫茫人海淹没!
04-05 3636
Ntmlhash认证流程1、前言2、NTML HASH的产生3、Windows本地认证4、Windows网络认证 1、前言   密码保存在%SystemRoot%\system32\config\sam,我们登录windows系统的时候,系统自动读取SAM中的密码与我们输入的密码进行比较,相同,则认证成功。 2、NTML HASH的产生   NTLM Hash是支持Net NTLM认证协议及本地认证,长度为32位,由数字与字母组成。Windows本身不存储用户的明文密码,它会将用户的明文密码经过加密算法后存
NTLM身份验证
y97523的专栏
05-31 1280
NTLM工作流程是这样的: 1、客户端首先在本地加密当前用户的密码成为密码散列 2、客户端向服务器发送自己的帐号,这个帐号是没有经过加密的,明文直接传输 3、服务器产生一个16位的随机数字发送给客户端,作为一个 challenge(挑战) 4、客户端再用加密后的密码散列来加密这个 challenge ,然后把这个返回给服务器。作为 response(响应) 5、服务器把用户名、给客户端的chall
【内网横向】NTLM认证
网络安全从业者的学习笔记
03-09 428
NTLM使用在Windows NT和Windows 2000 Server(or Later)工作组环境中(Kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM采用一种质询/应答(Challenge/Response)消息交换模式。
详细的NTLM工作流程
hzcyclone的专栏
09-06 648
NTLM工作流程是这样的: 1、客户端首先在本地加密当前用户的密码成为密码散列 2、客户端向服务器发送自己的帐号,这个帐号是没有经过加密的,明文直接传输 3、服务器产生一个16位的随机数字发送给客户端,作为一个 challenge(挑战) 4、客户端再用加密后
NTLM 哈希认证过程详解及实例操作
最新发布
m0_57836225的博客
09-25 538
NTLM 哈希认证是一种常见的网络认证方式,它使用哈希算法来保护用户密码,提高认证安全性。在实际应用中,我们需要注意 NTLM 哈希认证安全风险,并采取相应的措施来增强认证安全性,如使用强密码、定期更换密码、加强服务器的安全防护等。- 服务器会用自己存储的用户密码哈希值,以同样的方式计算出一个预期的响应值,然后与客户端发送过来的响应值进行比较,如果一致,则认证通过,允许客户端访问共享文件夹。- 服务器接收到客户端的响应值后,会使用存储在服务器上的用户密码的哈希值来验证响应值的正确性。
NTLM及Kerberos认证流程
Y5neKO's blog
09-11 2127
NTLM及Kerberos认证流程 NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。 2.认证流程 ①使用用户名和密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务
两种网络身份认证协议的工作流程——NTLM和Kerberos
Neonline254的博客
08-19 3983
NTLM和Kerberos是内网渗透中最常见的两种身份认证协议。理解它们的工作流程也是理解相应内网攻击手段的前置条件(如针对NTLM的中继攻击、针对Kerberos的黄金、白银票据攻击及委派攻击等)。
Windows LM-Hash与NTLM-Hash详解及Python模拟
尽管现在NTLM Hash更为常用,但了解这两种哈希的生成过程对于理解Windows安全和内网渗透至关重要。 LM Hash是IBM设计的一种较老的哈希算法,其生成步骤如下: 1. **密码限制**:用户密码最多只能包含14个字符。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值