实战攻击NTLMv1协议:降级破解与LDAP中继技术详解

本文深入解析针对NTLMv1认证协议的两种实战攻击方法:通过认证降级实现哈希破解获取Silver Ticket,以及利用LDAP中继实施基于资源的约束委派攻击,涵盖工具配置、攻击链细节和防御规避技术。

实战攻击NTLMv1协议

本文旨在指导如何实际利用允许NTLMv1认证协议的系统。尽管NTLMv1几乎不再需要,但仍有大量组织在使用它,可能是无意识的。然而,目前有些VPN产品仍指示用户将NTLM认证降级到最低安全级别。给出的理由是NTLMv2无法与RADIUS或MS-CHAPv2配合使用,但其他VPN解决方案似乎在使用NTLMv2的同时解决了这个问题。

将涵盖两种不同的攻击方法:

  • 认证降级 -> 破解
  • LDAP中继 -> 基于资源的约束委派(RBCD)

当LmCompatibilityLevel注册表键设置为0、1或2时,这些攻击是可能的。这可以通过系统本身的注册表配置或通过组策略强制执行。

攻击1:认证降级

  1. 配置Responder设置静态挑战以降级认证
  2. 从系统强制认证
  3. 破解传入的哈希
  4. Silver Ticket和/或DCSync

以下是完整攻击的演示:

首先,您需要配置Responder使用静态挑战。默认情况下,这是随机的。为了能够使用彩虹表破解后续哈希,应将挑战设置为1122334455667788。

运行Responder时,您需要使用类似以下的命令:

1

Responder.py -I [接口] --lm

--lm标志将允许您几乎立即使用crack.sh的彩虹表破解哈希。如果这不起作用,您可以尝试--disable-ess标志。如果您无法移除SSP,将无法再使用crack.sh的彩虹表破解,但仍可以通过使用ntlmv1-multi重新格式化后使用Hashcat枚举,或使用assless-chaps,它依赖于预计算的NT哈希数据库。

为了进一步理解各种NTLM哈希类型的格式,我推荐观看EvilMog的演讲——NTLMv1/NTLMv1-SSP的解剖。

下一步是以您认为合适的任何方式强制认证。大多数这些技术至少需要某种级别的认证,但如果尚未应用安全更新,Petit Potam将无需认证即可工作。每个工具都有自己的语法,通常需要一组有效的域凭据以及侦听器和目标的IP。

一旦破解,您将恢复被强制认证的计算机帐户的NT哈希。然后可以使用该哈希制作Silver Ticket,进而用于获得对系统的管理访问权限。如果主机是域控制器,则可以直接通过PtH进行DCSync,而无需模拟任何其他帐户。

如果您想走Silver Ticket路线,它在NetNTLMtoSilverTicket Github仓库中有记录。我还推荐这篇博客文章,它更详细地介绍了如何配置Silver Ticket。

1

ticketer.py -nthash [DC哈希] -domain-sid [域SID] -domain [域] -spn cifs/[DC主机名] -user-id [用户ID] -groups [域组ID] [用户名]

您当然需要域的SID以及用户和组ID。您可能希望制作模拟现有域管理员的票证。我通常从ldapdomaindump或BloodHound数据中获取这些值。您可以使用破解的NT哈希以LM:NT格式使用Pass-the-Hash认证。

有时crack.sh宕机,因此破解哈希不是最佳选择,或者只是花费太长时间。虽然这种技术是最著名的,但存在一种同样有效的技术,完全不需要任何破解。

攻击2:LDAP中继

我从同事那里了解了这种攻击,但直到我遇到Adam Crosser的一篇优秀博客,才对NTLM降级攻击进行了全面深入的研究。这种攻击在我找到的另一篇博客文章中也提到过。众所周知,将SMB中继到LDAP是不可能的,因为SMB设置了一个标志,要求使用会话密钥对消息进行签名。没有此签名,认证将失败。这通常防止通过PrinterBug或Petit Potam强制认证被中继。由于NTLM包括整个NTLM协商的消息完整性代码(MIC),签名无法在传输中被剥离。

NTLMv1为此提供了例外,因为NTLMv1不支持计算MIC。使用Impacket的ntlmrelayx.py,可以指定–remove-mic标志。这最初是为了利用CVE-2019-1040,也称为“Drop the MIC”。

几乎可以以与CVE-2019-1040完全相同的方式利用NTLMv1。

攻击链将如下所示:

  1. 设置ntlmrelayx.py以剥离MIC,同时执行RBCD攻击
  2. 强制认证
  3. 为模拟用户制作服务票证
  4. DCSync

这比上次攻击有更多先决条件:它需要至少两个域控制器之间进行中继,并且它们至少处于Windows Server 2012功能级别才能使RBCD攻击工作。

首先,设置ntlmrelayx.py中继到其中一个域控制器:

1

ntlmrelayx.py -t ldaps://[域控制器] --remove-mic -smb2support --delegate-access

然后触发强制认证,目标是第二个域控制器。

认证然后被中继到LDAP,后者创建一个计算机帐户并通过将新计算机帐户的SID添加到域控制器的msDS-AllowedToActOnBehalfOfOtherIdentity属性来修改目标域控制器上的委派权限。

一旦完成,就可以执行基于资源的约束委派攻击。

然后可以创建服务票证,模拟域管理员。

1

getST.py -spn cifs/[中继的DC] -impersonate [域管理员] [创建的计算机]':[密码]

一旦创建此票证,就可以执行两种攻击从域控制器恢复NT哈希:

  • 以管理员身份在系统上获取命令shell,并使用诸如ntdsutil之类的工具恢复NTDS.dit数据库
  • 对域控制器执行DCSync攻击,通过网络提取NT哈希

此外,此RBCD可以替换为影子凭据攻击。

我在博客中没有提到这一点,但您也可以将RBCD替换为影子凭据。 优点:不需要创建计算机对象 缺点:需要ADCS / Server 2016+ https://t.co/EoBGckmZQ0 — n00py (@n00py1) 2022年9月30日

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次