Windows認證協議

Windows認證協議有兩種：

NTLM（NT LAN Manager）

NTLM主要應用于用于Windows NT 和 Windows 2000 Server（或更高版本） 作業組環境

Kerberos

而后者則主要應用于Windows 2000 Server（或更高版本） 域環境

簡單來說，在Windows 2000 Server或者更高版本里，想在作業組環境認證，就用NTLM協議；想在域環境里面認證，就得用Kerberos協議，

而在AD域環境中，如果需要認證 Windows NT作業系統，也得用NTLM協議，

NTLM認證

Windwos 密碼hash

早期SMB協議在網路上傳輸明文口令，后來出現"LAN Manager Challenge/Response"驗證機制，簡稱LM，由于容易被破解，微軟提出了windows NT挑戰/回應機制，稱之為NTLM，

所以說NTLM主要是一種基于質詢（challenge）/回應（response）訊息互動模式的認證程序，

現在已經有了更新的NTLM v2以及Kerberos驗證體系，windows加密過的密碼口令，我們稱之為hash，windows的系統密碼hash默認情況下一般有兩部分組成：LM-hash，NTLM-hash ，
這是對同一個密碼的兩種不同的加密方式

NTLM hash

在windows系統中比較常見的是從系統匯出來的NTLM hash，通過Hashcat能夠破解出明文密碼，

NTLM hash通常是指windows系統下Securtiy Account Manager中保存的用戶密碼hash，

在滲透測驗中，通常可從windows系統中的SAM檔案和域控的NTDS.dit檔案中獲得所有用戶的hash，通過mimikatz讀取lsass.exe行程能獲得已登陸用戶的NTLM hash

NET-NTLM hash

通常是指網路環境下NTLM認證中的hash

流程

客戶端發起認證請求
服務端收到認證請求，向客戶端發送亂數（chanlleng/挑戰）
客戶端使用NTLM Hash打亂該亂數，生成Net-NTLM Hash，發送回服務端

說的有點懵了，簡單點就是：

1.客戶端向服務器發送一個請求，請求中包含明文的登錄用戶名，服務器會提前存盤登錄用戶名和對應的hashpass（應該是密碼hash，我這里寫作hashpass）

2.服務器接收到請求后，首先檢查你要登錄的用戶名存不存在，存在的話不管三七二十，先生成一個16位的亂數(這個亂數被稱為Challenge)，使用存盤的登錄用戶的hashpass加密Challenge，生成一個驗證碼（同樣只是個人理解，官方說法或許不叫這個）

3.服務器將這個16位數隨機生成的Challenge 明文發送給客戶端，

4.客戶端接收到Challenge后，使用登錄用戶的hashpass對Challenge加密，獲得的結果叫response

5.客戶端將response這個值明文發送給服務器

6.服務器接收客戶端明文發送過來的response，比較驗證碼和response，如果兩個值相同，則驗證成功

注意

要注意的一點是，在2 、4程序中，都是用hashpass去加密challenge，而不是用challenge加密hashpass，

圖解

這樣，在認證登錄的程序中，客戶端不需要直接將密碼發給服務器，減少了中間被嗅探劫持的風險，

Kerberos認證

名詞解釋

KDC(Key Distribution Center)：密鑰分發中心里面包含兩個服務：AS和TGS
AS(Authentication Server)：身份認證服務
TGS(Ticket Granting Server)：票據授予服務
TGT(Ticket Granting Ticket)：由身份認證服務授予的票據，用于身份認證，存盤在記憶體，默認有效期為10小時
Pass The Ticket：如果我們能夠拿到用戶的TGT，并將其匯入到記憶體，就可以冒充該用戶獲得其訪問權限

流程

Kerberos提供了一個集中式的認證服務器結構，認證服務器的功能是實作用戶與其訪問的服務器間的相互鑒別，

Kerberos被稱作三頭狗，之所以用它來命名，是因為整個認證程序涉及到三方：客戶端、服務端和KDC（Key Distribution Center），在Windows域環境中，KDC的角色由DC（Domain Controller）來擔當，

Kerberos是一種基于“票據”的認證方式，票據(Ticket)用來安全的在認證服務器和用戶請求的服務之間傳遞用戶的身份，同時也傳遞附加資訊，用來保證使用Ticket的用戶必須是Ticket中指定的用戶，Ticket一旦生成，在生存時間內可以被Client多次使用來申請同一個Server的服務，

客戶端要訪問服務器的資源，需要首先購買服務端認可的票據，也就是說，客戶端在訪問服務器之前需要預先買好票，等待服務驗票之后才能入場，在這之前，客戶端需要先買票，但是這張票不能直接購買，需要一張認購權證，客戶端在買票之前需要預先獲得一張認購權證，這張認購權證和進入服務器的入場券均有KDC發售，

簡單說，就是有客戶端、服務器、KDC三臺機器，

1.我想登錄某個賬號，我就在客戶端上輸入我要登錄的賬號密碼，客戶端呢，會把你的密碼hash一下，hash后的值呢，這里叫hashpass，

2.客戶端呢，再用hashpass加密我當前客戶端的資訊、登錄的賬號、KDC的id、時間戳資訊，這里加密后的結果叫A，客戶端就會把A和要登錄的賬號發給KDC

3.KDC收到后，首先是AD出馬，AD是資料庫，存盤域里面所有的賬號資訊，AD一檢查你要要登錄的賬號是存在的，就把A轉發給AS，

4.AS里面事先保存著你的hashpass，它用hashpass解密A，看到里面的資訊正常沒問題，說明客戶端的確是用hashpass加密的(不然你用其他的資料加密，AS用hashpass解密后的結果自然是無意義的，)

5.既然客戶端沒問題，那AS就隨機生成一個秘鑰，這里把它稱作K，然后AS說，客戶端你不是要票（TGT）嗎？那我們來進行一下票據授予服務（TGS）啊，

客戶端就做了兩手準備，首先把TGS服務的名字、id啥的資訊、還有K的值，當前時間戳用hashpass加密好，（把這個加密結果叫②）
然后把上面的資訊加上客戶端的資訊和當前時間戳用TGS秘鑰加密，這個TGS加密的結果呢，只有TGS才能解密，（把這個加密結果叫①）

6.AS把①、②全發給客戶端，客戶端接收一看，媽耶，①我解不開，不曉得啥意思，那就看②，②能用hashpass解開，解開后客戶端拿到了K的值，

然后客戶端就用K加密②解密后的內容、客戶端資訊和當前時間戳，加密后的結果呢就叫驗證器（authenticator），

7.客戶端將①和驗證器全都發給TGS，TGS一收到，驗證器我解不開，先看①，用TGS秘鑰解開了①（前面說了，①只有TGS才能解開），然后拿到了K的值，和其他資訊，

然后TGS用K解密驗證器，

將①和驗證器解密后的結果做個對比，如果沒問題，好，通過驗證，

8.通過驗證后，TGS就隨機生成一個值，我們把它叫做K2，然后票據授予服務不是驗證通過了嗎？TGS小手一揮，給你兩張票據，

票據1里面有K1、客戶端身份資訊、服務器 ID、時間戳等資訊，這里用服務端秘鑰加密，只有服務器才能解密，
票據2里面同樣有K1、服務器ID、時間戳資訊，用k加密，

然后TGS將兩張票據全發給客戶端

9.客戶端收到后，同樣解不開票據一，用K解密票據二后，知道了服務器ID和K1的值，

然后客戶端用K1將票據二解密后的內容、客戶端資訊、時間戳加密，加密的結果叫驗證器2吧，

10.客戶端將票據一、驗證器2全發給服務器（第9步知道了服務器的id等資訊）

11.服務器接收后，先用服務器秘鑰解密票據一，知道了K1的值及相關資訊，

然后服務器用K1解密了驗證器2，得到了驗證器2里面的內容

服務器就驗證兩者之間的內容，如果通過驗證，就允許客戶端登錄，

注意

要注意的地方是8/9/10/11步后面的什么客戶端資訊、服務器資訊，有些參考資料上說應該寫成TGS、TGT啥的id等內容，然后這些服務、票據內容里面包括了客戶端、服務端、時間戳資訊，但是因為作者只是個初學者，所以只按自己的理解來寫，如果理解錯了希望有大佬能指出來，

然后上面的時間戳都是指當前時間戳，每個步驟里面的時間戳都是不一樣的，他們（as，tgs，服務器）會計算拿到手的資訊里的時間戳和當前時間戳的時間差，如果隔太久了（比如超過了2分鐘，比如超過了5分鐘，這個時間差是由管理員設定的，默認是5分鐘，）那么他們會認為這是假的是偽造的，不同意下一步的認證，

下圖揭示了Kerberos整個認證的程序，

圖解

利用方式

兩種驗證方式看起來都無懈可擊，是不是就真的安全了呢？
當然不，

NTLM的利用方式

先說說ntlm的利用方式
他有兩種利用方式

1、Pass the hash

首先，如果內網主機的本地管理員賬戶密碼相同，那么可以通過pass the hash遠程登錄到任意一臺主機，

拿下域里面一臺主機的管理員權限后，從dump記憶體獲取其他用戶的賬號和hashpass（hash后的密碼），用賬號及hashpass登錄其他主機（從前面的認證程序中可以看到，ntlm驗證只用到hashpass，不知道明文的密碼也可以登錄）

然后如果恰好某個hashpass對應的賬號是某臺主機的管理員，你就又拿下了一臺主機，在這臺主機里獲取用戶的hashpass，然后又去其他主機登錄……

如此重復下去，總有拿下域管理員的的賬號及hashpass的一天

當然，微軟在2014年發布了更新補丁kb2871997禁止本地管理員賬戶用于遠程連接，也就是說除了一些2014年前的未更新的老古董，這個方法基本上沒用了，

不過有大佬驗證過默認的 Administrator (SID 500)賬號例外，利用這個賬號仍可以進行Pass The Hash遠程連接，

參考資料：https://www.tiejiang.org/23508.html

2、Pass the key

mimikatz實作了在禁用ntlm的環境下仍然可以遠程連接，通過利用用戶賬戶的aes key進行遠程連接，即利用pass the key，
注意
1、Windows vista以后，本地管理員administrator默認是禁用狀態，而用戶添加的本地管理員是受限管理員，pass the hash遠程連接后權限為普通用戶權限；
2、Pass the key時需要確保系統安裝了補丁kb2871997

Kerberos的利用方式

票據攻擊（PTT）

Pass The Ticket 1（Golden Ticket）

英文看不懂沒關系，中文意思是黃金票據
黃金票據偽造票據授予服務
黃金票據的利用條件是原先已成功取得域用戶的HASH，

如果你知道TGS的秘鑰，是不是就沒AS什么事了？（見第5步）

①、②里面有你要請求的TGS的服務，如果你知道TGS的秘鑰，①、②是不是就由你寫了，然后你再把①發給TGS，TGS一解密，它開具的票據就是你在①②里面請求的票據授予服務，所以拿到TGS秘鑰后，你就能偽造任意

因為TGS的秘鑰AS知道（第五步）你可以偽造任意服務票據，

TGS的秘鑰是什么呢？域控里有個用戶叫krbtgt，專門用來發票據的，就是說TGS的秘鑰，其實就是他這個用戶的秘鑰，所以只要我們知道了這個krbtgt用戶的passhash，就可以偽造黃金票據

Pass The Ticket 2（Silver Ticket）

這里說的是白銀票據

如果我們知道了服務器秘鑰，
那么我們可以偽造票據一，偽造驗證器2.然后直接和服務器通信，就沒KDC什么事了，

黃金、白銀票據的區別

1. 訪問權限不同：
   Golden Ticket：偽造TGT，可以獲取任何Kerberos服務權限
   Silver Ticket：偽造TGS，只能訪問指定的服務
2. 加密方式不同：
   Golden Ticket由Kerberos的Hash加密
   Silver Ticket由服務賬號（通常為計算機賬戶）Hash加密
3. 認證流程不同：
   Golden Ticket的利用程序需要訪問域控，而Silver Ticket不需要訪問域控