NTLM Relay

NTLM-Hash和NET-NTLM-Hash：

Windows机器基本都采用NTLM-Hash来存储用户密码，通常保存在SAM文件中(域Hash保存在域控的NTDS.dit文件中)，可以用mimikatz读取lsass进程获得已登录用户的密码hash，或者用注册表的形式导出SAM文件获得在本机存储的用户hash。

从Window Vista 和 Windows Server 2008开始，默认情况只存储Ntlm Hash。某些工具在PTH或者其他过程中需要使用 LM:NTLM 格式的时候，LM可以为任意值。

NET-NTLM-Hash是由NTLM-Hash和challenge值加密生成的，用于NTLM认证。

NTLMv1和NTLMv2(用于NTLM认证)：

Challenge：

NTLM v1：8字节
NTLM v2：16字节

Net-NTLM-Hash：

NTLM v1：DES加密算法
NTLM v2： HMAC-MD5加密算法

当然由于使用不同格式的 Challenge 和加密算法，也就存在不同的 Net-NTLM hash，即 Net-NTLM v1 hash，Net-NTLM v2 hash

NTLMv1不够安全，拿到后可以进行暴力破解，所以现在大多都是使用的NTLMv2。

本地认证流程：

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

首先，用户注销、重启、锁屏后，操作系统会让winlogon.exe显示登录界面，也就是输入框，接收输入后，将密码交给lsass进程，这个进程中会存一份明文密码，将明文密码加密成NTLM Hash，对SAM数据库比较认证。

Windows Logon Process(即 winlogon.exe)：是Windows NT 用户登陆程序，用于管理用户登录和退出。

LSASS：用于微软Windows系统的安全机制。它用于本地安全和登陆策略

NTLM认证：

工作组中

1.客户端告诉服务器它要进行身份验证。

2.服务器传入 NTLM SSP，得到 NTLM_CHALLENGE 消息(16位随机值)，并返回给客户端。

3.客户端取出challenge随机值，使用要登录用户的NTLM-Hash对challenge进行加密，得到相应的NET-NTLM-Hash，发送给服务端。

4.服务端根据challenge同样使用存储的登录用户密码 hash 加密 Challenge，生成challenge1，比较NET-NTLM-Hash和challenge1，如果相同则验证成功

域环境中

前三步与工作组相同

4.由于域机器SAM文件中不存在域用户的NTLM hash，所以服务器将客户端用户名、第三步返回的NET-NTLM-Hash和第二步生成的NTLM_CHALLENGE通 Netlogon协议交到域控手中,让域控对其进行身份验证。

5.域控通过客户端用户名在自己的ntds.dit中找到对应的NTLM-Hash，用NTLM_CHALLENGE对其进行加密，再与NET-NTLM-Hash进行对比。如果相同则表示用户拥有的密码是正确的，否则则验证失败，DC将结果返回给服务器。

6.服务器根据DC的结果成功与否返回给客户端。

SSPI接口(安全支持提供程序接口)

是微软提出的用于标准化身份验证的接口，事先定义好了与安全有关的功能函数,用于获取校验信息完整性等，没有具体的实现。

SSP(安全服务提供)

为SSPI的实现者,微软自己实现了如下的 SSP，用于提供安全功能。例如：NTLM SSP，Kerberos等。

现在Windows主要用 NTLMv2(工作组环境) 和 Kerberos(域环境) 验证体系。NTLM只支持Windows，而Kerberos不仅支持Windows，而且支持Linux。

NetBIOS和LLMNR欺骗得到Net-NTLMHash

什么是NetBIOS和LLMNR：

NetBIOS和LLMNR（Link-LocalMulticast NameResolution）是Microsoft针对工作组和域设计的名称解析协议，主要用于局域网中的名称解析。当DNS解析失败时，Windows系统会使用NetBIOS和LLMNR搜索名称。这些协议只为本地连接设计。

Netbios(Network Basic Input Output System)：网络基本输入输出系统

是一种应用程序接口(API)，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址。几乎所有的局域网都是在NetBIOS协议的基础上工作的。在Windows操作系统中，默认情况下在安装 TCP/IP 协议后会自动安装NetBIOS。

LLMNR(Link-LocalMulticast NameResolution)：链路本地多播名称解

是一个基于协议的域名系统（DNS）数据包的格式。LLMNR协议类似于ARP协议：当主机访问另外一台主机时，如果只知道对方的主机名，则会向局域网内广播请求，询问该主机名对应的ip地址，然后收到该请求的主机首先会判断自己的主机名是否是这个，如果是的话则会回复一个ip地址，如果主机名不符合则丢弃。

攻击原理：

windows解析顺序：

本地host文件>dns缓存>dns服务器>名称解析协议（NetBIOS和LLMNR广播）

NetBIOS和LLMNR协议对于没有DNS的工作站系统来说很有帮助，但也对攻击者大开方便之门。当输入不存在、包含错误或者DNS中没有的主机名时，就会使用这些协议在网络中搜索主机，这些协议的本质决定了本地网络上的任何主机都可以回答请求。这意味着作为攻击者，能够代替网络上任何不存在的主机回答请求，并诱导搜索内容的主机连接到攻击者。

Responder进行攻击：

kali已经默认集成了responder，这个工具能进行NetBIOS，LLMNR欺骗。

攻击者：

responder -I eth0 -f

其中：

-I表示指定的网卡，-f表示允许攻击者查看受害者的主机指纹。

开启后，对LLMNR、NetBIOS、DNS/MDNS的毒化开始进行。

受害者在资源管理器的地址栏中输入\\adaaaada时，系统会尝试连接主机“adaaaada”。首先它会检查本地host文件，然后检查DNS，如果都不存在，就会通过LLMNR协议进行多播，在局域网中进行搜索。此时可以在攻击机上看到Responder的响应，然后受害者的Windows机器会向攻击者进行身份验证。

获取Net-NTLMHash：

responder也会自动将结果保存在/usr/share/responder/logs/ 目录下

使用Hashcat破解Net-NTLMHash：

hashcat.exe -m 5600 aspnet::HIRO:67317ae12da2a6bf:0A8C18A3412E1051B33A5516618CB23B:010100000000000080DD00168A5FD701E1910DC282B3666E00000000020008004600340059004D0001001E00570049004E002D004F003600470056004A00480048004600460059005A0004003400570049004E002D004F003600470056004A00480048004600460059005A002E004600340059004D002E004C004F00430041004C00030014004600340059004D002E004C004F00430041004C00050014004600340059004D002E004C004F00430041004C000700080080DD00168A5FD70106000400020000000800300030000000000000000100000000200000EFBD98EB057A087ACFA02DC5E544C7C6ED6CDC5EC6C87BD8BA7AABFBAC48E6910A001000000000000000000000000000000000000900180063006900660073002F0061006100610061007300730073000000000000000000 pass.txt --force

其中：

aspnet:要访问的服务器的用户名
HIRO：域名
67317ae12da2a6bf：16位的challenge值
剩余部分：根据自身密码的NTLM-hash对challenge加密

爆破得到密码：