目錄
- Windows認證協議
- NTLM(NT LAN Manager)
- Kerberos
- NTLM認證
- Windwos 密碼hash
- NTLM hash
- NET-NTLM hash
- 流程
- 注意
- 圖解
- Kerberos認證
- 名詞解釋
- 流程
- 注意
- 圖解
- 利用方式
- NTLM的利用方式
- 1、Pass the hash
- 2、Pass the key
- Kerberos的利用方式
- Pass The Ticket 1(Golden Ticket)
- Pass The Ticket 2(Silver Ticket)
- 黃金、白銀票據的區別
Windows認證協議
Windows認證協議有兩種:
NTLM(NT LAN Manager)
NTLM主要應用于用于Windows NT 和 Windows 2000 Server(或更高版本) 作業組環境
Kerberos
而后者則主要應用于Windows 2000 Server(或更高版本) 域環境
簡單來說,在Windows 2000 Server或者更高版本里,想在作業組環境認證,就用NTLM協議;想在域環境里面認證,就得用Kerberos協議,
而在AD域環境中,如果需要認證 Windows NT作業系統,也得用NTLM協議,
NTLM認證
Windwos 密碼hash
早期SMB協議在網路上傳輸明文口令,后來出現"LAN Manager Challenge/Response"驗證機制,簡稱LM,由于容易被破解,微軟提出了windows NT挑戰/回應機制,稱之為NTLM,
所以說NTLM主要是一種基于質詢(challenge)/回應(response)訊息互動模式的認證程序,
現在已經有了更新的NTLM v2以及Kerberos驗證體系,windows加密過的密碼口令,我們稱之為hash,windows的系統密碼hash默認情況下一般有兩部分組成:LM-hash,NTLM-hash ,
這是對同一個密碼的兩種不同的加密方式
NTLM hash
在windows系統中比較常見的是從系統匯出來的NTLM hash,通過Hashcat能夠破解出明文密碼,
NTLM hash通常是指windows系統下Securtiy Account Manager中保存的用戶密碼hash,
在滲透測驗中,通常可從windows系統中的SAM檔案和域控的NTDS.dit檔案中獲得所有用戶的hash,通過mimikatz讀取lsass.exe行程能獲得已登陸用戶的NTLM hash
NET-NTLM hash
通常是指網路環境下NTLM認證中的hash
流程
客戶端發起認證請求
服務端收到認證請求,向客戶端發送亂數(chanlleng/挑戰)
客戶端使用NTLM Hash打亂該亂數,生成Net-NTLM Hash,發送回服務端
說的有點懵了,簡單點就是:
1.客戶端向服務器發送一個請求,請求中包含明文的登錄用戶名,服務器會提前存盤登錄用戶名和對應的hashpass(應該是密碼hash,我這里寫作hashpass)
2.服務器接收到請求后,首先檢查你要登錄的用戶名存不存在,存在的話不管三七二十,先生成一個16位的亂數(這個亂數被稱為Challenge),使用存盤的登錄用戶的hashpass加密Challenge,生成一個驗證碼(同樣只是個人理解,官方說法或許不叫這個)
3.服務器將這個16位數隨機生成的Challenge 明文發送給客戶端,
4.客戶端接收到Challenge后,使用登錄用戶的hashpass對Challenge加密,獲得的結果叫response
5.客戶端將response這個值明文發送給服務器
6.服務器接收客戶端明文發送過來的response,比較驗證碼和response,如果兩個值相同,則驗證成功
注意
要注意的一點是,在2 、4程序中,都是用hashpass去加密challenge,而不是用challenge加密hashpass,
圖解
這樣,在認證登錄的程序中,客戶端不需要直接將密碼發給服務器,減少了中間被嗅探劫持的風險,
Kerberos認證
名詞解釋
KDC(Key Distribution Center):密鑰分發中心里面包含兩個服務:AS和TGS
AS(Authentication Server):身份認證服務
TGS(Ticket Granting Server):票據授予服務
TGT(Ticket Granting Ticket):由身份認證服務授予的票據,用于身份認證,存盤在記憶體,默認有效期為10小時
Pass The Ticket:如果我們能夠拿到用戶的TGT,并將其匯入到記憶體,就可以冒充該用戶獲得其訪問權限
流程
Kerberos提供了一個集中式的認證服務器結構,認證服務器的功能是實作用戶與其訪問的服務器間的相互鑒別,
Kerberos被稱作三頭狗,之所以用它來命名,是因為整個認證程序涉及到三方:客戶端、服務端和KDC(Key Distribution Center),在Windows域環境中,KDC的角色由DC(Domain Controller)來擔當,
Kerberos是一種基于“票據”的認證方式,票據(Ticket)用來安全的在認證服務器和用戶請求的服務之間傳遞用戶的身份,同時也傳遞附加資訊,用來保證使用Ticket的用戶必須是Ticket中指定的用戶,Ticket一旦生成,在生存時間內可以被Client多次使用來申請同一個Server的服務,
客戶端要訪問服務器的資源,需要首先購買服務端認可的票據,也就是說,客戶端在訪問服務器之前需要預先買好票,等待服務驗票之后才能入場,在這之前,客戶端需要先買票,但是這張票不能直接購買,需要一張認購權證,客戶端在買票之前需要預先獲得一張認購權證,這張認購權證和進入服務器的入場券均有KDC發售,
簡單說,就是有客戶端、服務器、KDC三臺機器,
1.我想登錄某個賬號,我就在客戶端上輸入我要登錄的賬號密碼,客戶端呢,會把你的密碼hash一下,hash后的值呢,這里叫hashpass,
2.客戶端呢,再用hashpass加密我當前客戶端的資訊、登錄的賬號、KDC的id、時間戳資訊,這里加密后的結果叫A,客戶端就會把A和要登錄的賬號發給KDC
3.KDC收到后,首先是AD出馬,AD是資料庫,存盤域里面所有的賬號資訊,AD一檢查你要要登錄的賬號是存在的,就把A轉發給AS,
4.AS里面事先保存著你的hashpass,它用hashpass解密A,看到里面的資訊正常沒問題,說明客戶端的確是用hashpass加密的(不然你用其他的資料加密,AS用hashpass解密后的結果自然是無意義的,)
5.既然客戶端沒問題,那AS就隨機生成一個秘鑰,這里把它稱作K,然后AS說,客戶端你不是要票(TGT)嗎?那我們來進行一下票據授予服務(TGS)啊,
客戶端就做了兩手準備,首先把TGS服務的名字、id啥的資訊、還有K的值,當前時間戳用hashpass加密好,(把這個加密結果叫②)
然后把上面的資訊加上客戶端的資訊和當前時間戳用TGS秘鑰加密,這個TGS加密的結果呢,只有TGS才能解密,(把這個加密結果叫①)
6.AS把①、②全發給客戶端,客戶端接收一看,媽耶,①我解不開,不曉得啥意思,那就看②,②能用hashpass解開,解開后客戶端拿到了K的值,
然后客戶端就用K加密②解密后的內容、客戶端資訊和當前時間戳,加密后的結果呢就叫驗證器(authenticator),
7.客戶端將①和驗證器全都發給TGS,TGS一收到,驗證器我解不開,先看①,用TGS秘鑰解開了①(前面說了,①只有TGS才能解開),然后拿到了K的值,和其他資訊,
然后TGS用K解密驗證器,
將①和驗證器解密后的結果做個對比,如果沒問題,好,通過驗證,
8.通過驗證后,TGS就隨機生成一個值,我們把它叫做K2,然后票據授予服務不是驗證通過了嗎?TGS小手一揮,給你兩張票據,
票據1里面有K1、客戶端身份資訊、服務器 ID、時間戳等資訊,這里用服務端秘鑰加密,只有服務器才能解密,
票據2里面同樣有K1、服務器ID、時間戳資訊,用k加密,
然后TGS將兩張票據全發給客戶端
9.客戶端收到后,同樣解不開票據一,用K解密票據二后,知道了服務器ID和K1的值,
然后客戶端用K1將票據二解密后的內容、客戶端資訊、時間戳加密,加密的結果叫驗證器2吧,
10.客戶端將票據一、驗證器2全發給服務器(第9步知道了服務器的id等資訊)
11.服務器接收后,先用服務器秘鑰解密票據一,知道了K1的值及相關資訊,
然后服務器用K1解密了驗證器2,得到了驗證器2里面的內容
服務器就驗證兩者之間的內容,如果通過驗證,就允許客戶端登錄,
注意
要注意的地方是8/9/10/11步后面的什么客戶端資訊、服務器資訊,有些參考資料上說應該寫成TGS、TGT啥的id等內容,然后這些服務、票據內容里面包括了客戶端、服務端、時間戳資訊,但是因為作者只是個初學者,所以只按自己的理解來寫,如果理解錯了希望有大佬能指出來,
然后上面的時間戳都是指當前時間戳,每個步驟里面的時間戳都是不一樣的,他們(as,tgs,服務器)會計算拿到手的資訊里的時間戳和當前時間戳的時間差,如果隔太久了(比如超過了2分鐘,比如超過了5分鐘,這個時間差是由管理員設定的,默認是5分鐘,)那么他們會認為這是假的是偽造的,不同意下一步的認證,
下圖揭示了Kerberos整個認證的程序,
圖解
利用方式
兩種驗證方式看起來都無懈可擊,是不是就真的安全了呢?
當然不,
NTLM的利用方式
先說說ntlm的利用方式
他有兩種利用方式
1、Pass the hash
首先,如果內網主機的本地管理員賬戶密碼相同,那么可以通過pass the hash遠程登錄到任意一臺主機,
拿下域里面一臺主機的管理員權限后,從dump記憶體獲取其他用戶的賬號和hashpass(hash后的密碼),用賬號及hashpass登錄其他主機(從前面的認證程序中可以看到,ntlm驗證只用到hashpass,不知道明文的密碼也可以登錄)
然后如果恰好某個hashpass對應的賬號是某臺主機的管理員,你就又拿下了一臺主機,在這臺主機里獲取用戶的hashpass,然后又去其他主機登錄……
如此重復下去,總有拿下域管理員的的賬號及hashpass的一天
當然,微軟在2014年發布了更新補丁kb2871997禁止本地管理員賬戶用于遠程連接,也就是說除了一些2014年前的未更新的老古董,這個方法基本上沒用了,
不過有大佬驗證過默認的 Administrator (SID 500)賬號例外,利用這個賬號仍可以進行Pass The Hash遠程連接,
參考資料:https://www.tiejiang.org/23508.html
2、Pass the key
mimikatz實作了在禁用ntlm的環境下仍然可以遠程連接,通過利用用戶賬戶的aes key進行遠程連接,即利用pass the key,
注意
1、Windows vista以后,本地管理員administrator默認是禁用狀態,而用戶添加的本地管理員是受限管理員,pass the hash遠程連接后權限為普通用戶權限;
2、Pass the key時需要確保系統安裝了補丁kb2871997
Kerberos的利用方式
票據攻擊(PTT)
Pass The Ticket 1(Golden Ticket)
英文看不懂沒關系,中文意思是黃金票據
黃金票據偽造票據授予服務
黃金票據的利用條件是原先已成功取得域用戶的HASH,
如果你知道TGS的秘鑰,是不是就沒AS什么事了?(見第5步)
①、②里面有你要請求的TGS的服務,如果你知道TGS的秘鑰,①、②是不是就由你寫了,然后你再把①發給TGS,TGS一解密,它開具的票據就是你在①②里面請求的票據授予服務,所以拿到TGS秘鑰后,你就能偽造任意
因為TGS的秘鑰AS知道(第五步)你可以偽造任意服務票據,
TGS的秘鑰是什么呢?域控里有個用戶叫krbtgt,專門用來發票據的,就是說TGS的秘鑰,其實就是他這個用戶的秘鑰,所以只要我們知道了這個krbtgt用戶的passhash,就可以偽造黃金票據
Pass The Ticket 2(Silver Ticket)
這里說的是白銀票據
如果我們知道了服務器秘鑰,
那么我們可以偽造票據一,偽造驗證器2.然后直接和服務器通信,就沒KDC什么事了,
黃金、白銀票據的區別
- 訪問權限不同:
Golden Ticket:偽造TGT,可以獲取任何Kerberos服務權限
Silver Ticket:偽造TGS,只能訪問指定的服務 - 加密方式不同:
Golden Ticket由Kerberos的Hash加密
Silver Ticket由服務賬號(通常為計算機賬戶)Hash加密 - 認證流程不同:
Golden Ticket的利用程序需要訪問域控,而Silver Ticket不需要訪問域控
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/167135.html
標籤:python