NTLM篇

NTLM篇

LM Hash

原始密码在任何情况下都不能被缓存，这是一条基本的安全准则

LM-Hash  密码123456
1.用户的密码被限制为最多14个字符
2.用户的密码转换为大写  123456 -> 123456
3.转化为16进制 123456 -> 313233343536 //可以使用php的bin2hex('123456')实现
4.不足14字节用0补齐  313233343536 -> 3132333435360000000000000000
5.固定长度的密码被分成两个7byte部分 3132333435360000000000000000->31323334353600和00000000000000
6.转化为比特流(16进制) 31323334353600-> 7.110001001100100011001100110100001101010011011000000000
8.长度不足56bit使用0在左边补齐长度  00110001001100100011001100110100001101010011011000000000
9.再分7bit为一组末尾加0
0011000 0
1001100 0
1000110 0
0110011 0
0100001 0
1010100 0
1101100 0
0000000 0
10.拼接对应0011000010011000100011000110011001000010101010001101100000000000
11.再转化为16进制30988C6692C8D000(字母要大写) 同理00000000000000转化为0000000000000000
12.30988C6692C8D000和0000000000000000作为密钥分别为4B47532140232425(KGS!@#$%的16进制)加密
13.讲密文拼接即可
注意：一个字节可以用两个16进制表示

python实现LM-HASH脚本

# coding=utf-8
import base64
import binascii
from pyDes import *
i=0
c=""

def DesEncrypt(str, Des_Key):
    k = des(Des_Key, ECB, pad=None)
    EncryptStr = k.encrypt(str)
    return binascii.b2a_hex(EncryptStr)


def Zero_padding(str):
    b = []
    l = len(str)
    num = 0
    for n in range(l):
        if (num < 8) and n % 7 == 0:
            b.append(str[n:n + 7] + '0')
            num = num + 1
    return ''.join(b)


if __name__ == "__main__":

    test_str = "123456"
    # 用户的密码转换为大写,并转换为16进制字符串
    test_str = test_str.upper()
    ascii_values = []
    for character in test_str:
        ascii_values.append(ord(character))

    for i in ascii_values:
        a = hex(i)
        b = a[2:]
        c += b
    test_str = c
    str_len = len(test_str)

    # 密码不足14字节将会用0来补全
    if str_len < 28:
        test_str = test_str.ljust(28, '0')

    # 固定长度的密码被分成两个7byte部分
    t_1 = test_str[0:14]
    t_2 = test_str[14:]

    # 每部分转换成比特流，并且长度位56bit，长度不足使用0在左边补齐长度
    t_1 = bin(int(t_1, 16)).lstrip('0b').rjust(56, '0')
    t_2 = bin(int(t_2, 16)).lstrip('0b').rjust(56, '0')

    # 再分7bit为一组末尾加0，组成新的编码
    t_1 = Zero_padding(t_1)
    t_2 = Zero_padding(t_2)
    t_1 = hex(int(t_1, 2))
    t_2 = hex(int(t_2, 2))
    t_1 = t_1[2:].rstrip('L')
    t_2 = t_2[2:].rstrip('L')

    if '0' == t_2:
        t_2 = "0000000000000000"
    t_1 = binascii.a2b_hex(t_1)
    t_2 = binascii.a2b_hex(t_2)

    # 上步骤得到的8byte二组，分别作为DES key为"KGS!@#$%"进行加密。
    LM_1 = DesEncrypt("KGS!@#$%", t_1)
    LM_2 = DesEncrypt("KGS!@#$%", t_2)

    # 将二组DES加密后的编码拼接，得到最终LM HASH值。
    LM = LM_1 + LM_2
    print (LM.upper())

算法存在的一些漏洞

• 密码长度最大只能为14个字符

• 密码不区分大小写。在生成哈希值之前，所有密码都将转换为大写

• 如果密码强度是小于7位，那么第二个分组加密后的结果肯定是aad3b435b51404ee，如果我们看到lm hash的结尾是aad3b435b51404ee，就可以很轻易的发现密码强度少于7位

• 一个14个字符的密码分成7 + 7个字符，并且分别为这两个半部分计算哈希值。这种计算哈希值的方式使破解难度大大降低

• Des密码强度不高

LAN Manager Challenge/Response

LAN Manager Challenge/Response 验证机制，简称LM。该方案比NTLM响应时间更早，安全性更低。

server B -> WELCOME   密码

脚本计算LM-HASH为 "c23413a8a1e7665faad3b435b51404ee"

Server B向Client A发送了一个8字节挑战"0001020304050607"

Client A会根据自己的访问Server B的密码明文计算并缓存密码的LM-HASH(Client A缓存输入密码的哈希值，“原始密码在任何情况下都不能被缓存”，这是一条基本的安全准则)

"c23413a8a1e7665faad3b435b51404ee0000000000" ，hash补0变为21字节，然后划分成三组，每组7字节
| C23413A8A1E766 | 5FAAD3B435B514 | 04EE0000000000 |

每组7字节做为参数传递给str_to_key()函数，最终得到三组DESKEY，每组8字节(八字节十六进制编码)
| C21A04748A0E9CCC | 5ED4B47642ACD428 | 0476800000000000 |

分别用三组DESKEY对8字节挑战 "0001020304050607" 进行标准DES加密
C21A04748A0E9CCC ---- 对0001020304050607进行标准DES加密 --> CA1200723C41D577
5ED4B47642ACD428 ---- 对0001020304050607进行标准DES加密 --> AB18C764C6DEF34F
0476800000000000 ---- 对0001020304050607进行标准DES加密 --> A61BFA0671EA5FC8

拼接，Client A最终获得一个24字节响应应"CA1200723C41D577AB18C764C6DEF34FA61BFA0671EA5FC8"（这个结果被称为response）

Client A 将"CA1200723C41D577AB18C764C6DEF34FA61BFA0671EA5FC8" 送往Server B，Server B会根据自己缓存的LM-HASH进行同样的计算，并将计算结果与来自A的响应进行比较，如果匹配则身份验证通过

NTLM Hash

从Windows Vista 和 Windows Server 2008开始，默认情况下只存储NTLM Hash，LM Hash将不再存在

计算

ntml hash计算：
1.先将用户密码转换为十六进制格式。
2.将十六进制格式的密码进行Unicode编码。
3.使用MD4摘要算法对Unicode编码数据进行Hash计算

python2 -c 'import hashlib,binascii; print binascii.hexlify(hashlib.new("md4", "p@Assword!123".encode("utf-16le")).digest())'

NTLM身份验证

1.用户登录客户端电脑
2.(type 1)客户端向服务器发送type 1(协商)消息,它主要包含客户端支持和服务器请求的功能列表
3.(type 2)服务器用type 2消息(质询)进行响应，这包含服务器支持和同意的功能列表。但是，最重要的是，它包含服务器产生的Challenge
4.(type 3)客户端用type 3消息(身份验证)回复质询。用户接收到步骤3中的challenge之后，使用用户hash与challenge进行加密运算得到response，将response,username,challeng发给服务器。消息中的response是最关键的部分，因为它们向服务器证明客户端用户已经知道帐户密码
5.服务器拿到type 3之后，使用challenge和用户hash进行加密得到response2与type 3发来的response进行比较。如果用户hash是存储在域控里面的话，那么没有用户hash，也就没办法计算response2。也就没法验证。这个时候用户服务器就会通过netlogon协议联系域控，建立一个安全通道,然后将type 1,type 2，type3 全部发给域控(这个过程也叫作Pass Through Authentication认证流程)
6.域控使用challenge和用户hash进行加密得到response2，与type 3的response进行比较

Net-ntlm hash

指网络环境下的NTLM认证中的Hash

在NTLM协议中，NTLM响应就分为NTLM v1，NTLMv2，NTLM session v2三种协议，不同协议使用不同格式的Challenge和加密算法

所以也就存在不同协议的Net-NTLM hash，即Net-NTLM v1 hash，Net-NTLM v2 hash，这一类hash不能用于PTH，但是能够暴力破解出密码

自Windows Vista/Server2008开始，系统默认禁用Net-NTLMv1，使用Net-NTLMv2

v1格式：username::hostname:LM response:NTLM response:challenge
v2格式：username::domain:challenge:HMAC-MD5:blob

Net-NTLMv1
服务端返回8位challenge
客户端收到challenge后，使用用户密码Hash加密challenge，作为response（加密算法为3DES）

Net-NTLMv2
与v1不同的是 challenge有16位，加密算法是HMAC-MD5

从response提取NTLMv2

这里的challenge是type2 服务器返回的challenge不是type3 流量包里面的client Challenge

就是7ac429882efc7e29

HMAC-MD5对应数据包中的NTProofSt

00a9055c4007c7eb1c1386504d0a7162

blob就是response 减去NTP1roofStr。(因为在计算response 的时候，response 就是由NTProofStr加上blob)

就是0101000000000000772eaacee59dd5014b484239683639570000000001000c00570049004e0037002d00310002000800540045005300540003002200570049004e0037002d0031002e0074006500730074002e006c006f00630061006c000400140074006500730074002e006c006f00630061006c000500140074006500730074002e006c006f00630061006c0007000800772eaacee59dd5010900160063006900660073002f00570049004e0037002d0031000000000000000000

所以最后的ntlm v2 hash是win7::test.local:7ac429882efc7e29:00a9055c4007c7eb1c1386504d0a7162:0101000000000000772eaacee59dd5014b484239683639570000000001000c00570049004e0037002d00310002000800540045005300540003002200570049004e0037002d0031002e0074006500730074002e006c006f00630061006c000400140074006500730074002e006c006f00630061006c000500140074006500730074002e006c006f00630061006c0007000800772eaacee59dd5010900160063006900660073002f00570049004e0037002d0031000000000000000000

SSP&SSPI

SSPI

这是 Windows 定义的一套接口，此接口定义了与安全有关的功能函数， 用来获得验证、信息完整性、信息隐私等安全功能，就是定义了一套接口函数用来身份验证，签名等，但是没有具体的实现
SSP

SSPI 的实现者，对SSPI相关功能函数的具体实现。微软自己实现了如下的 SSP，用于提供安全功能
NTLM SSP
Kerberos
Cred SSP
Digest SSP
Negotiate SSP
Schannel SSP
Negotiate Extensions SSP
PKU2U SSP

在系统层面，SSP就是一个dll，来实现身份验证等安全功能，实现的身份验证机制是不一样的
比如 NTLM SSP 实现的就是一种 Challenge/Response 验证机制。而 Kerberos 实现的就是基于 ticket 的身份验证机制,可以编写自己的 SSP，然后注册到操作系统中，让操作系统支持更多的自定义的身份验证方法

SSP可作为后门

LmCompatibilityLevel

此安全设置确定网络登录使用的质询/响应身份验证协议。此选项会影响客户端使用的身份验证协议的等级、协商的会话安全的等级以及服务器接受的身份验证的等级，其设置值如下

发送 LM NTLM 响应: 客户端使用 LM 和 NTLM 身份验证，而决不会使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。

发送 LM & NTLM - 如果协商一致，则使用 NTLMv2 会话安全: 客户端使用 LM 和 NTLM 身份验证，并且在服务器支持时使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 和 NTLMv2 身份验证

仅发送 NTLM 响应: 客户端仅使用 NTLM 身份验证，并且在服务器支持时使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 和 NTLMv2 身份验证

仅发送 NTLMv2 响应: 客户端仅使用 NTLMv2 身份验证，并且在服务器支持时使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 和 NTLMv2 身份验证

仅发送 NTLMv2 响应\拒绝 LM: 客户端仅使用 NTLMv2 身份验证，并且在服务器支持时使用 NTLMv2 会话安全；域控制器拒绝 LM (仅接受 NTLM 和 NTLMv2 身份验证)

仅发送 NTLMv2 响应\拒绝 LM & NTLM: 客户端仅使用 NTLMv2 身份验证，并且在服务器支持时使用 NTLMv2 会话安全；域控制器拒绝 LM 和 NTLM (仅接受 NTLMv2 身份验证)



默认值:
Windows 2000 以及 Windows XP: 发送 LM & NTLM 响应
Windows Server 2003: 仅发送 NTLM 响应
Windows Vista、Windows Server 2008、Windows 7 以及 Windows Server 2008 R2及以上: 仅发送 NTLMv2 响应

安全问题

• 在type 3 计算response是，客户端使用用户hash计算，不使用明文密码，就造成了pass the hash

• 在ntlm认证时，出现中间人转发认证消息，认证完成后中间人就有了访问的权限，即ntlm relay

• 在type2返回challenge时还返回了操作系统，主机名，netbios名等等，可以进行信息收集

参考

https://daiker.gitbook.io/windows-protocol/ntlm-pian

https://xz.aliyun.com/t/2445