实战攻击NTLMv1协议:降级破解与LDAP中继攻击详解

本文深入解析针对NTLMv1认证协议的两种实战攻击方法:认证降级破解与LDAP中继攻击,涵盖Responder配置、哈希破解、Silver Ticket制作及资源约束委派利用技术,适用于仍使用NTLMv1协议的企业环境安全评估。

实战攻击NTLMv1协议

本文旨在指导如何实际利用仍允许NTLMv1认证协议的系统。尽管NTLMv1已很少需要,但令人惊讶的是许多组织仍在未知情的情况下使用它。目前有些VPN产品仍指示用户将NTLM认证降级至最低安全级别,理由是NTLMv2与RADIUS或MS-CHAPv2不兼容,但其他VPN解决方案似乎能在使用NTLMv2的同时解决该问题。

将介绍两种不同的攻击方法:

  • 认证降级 -> 破解
  • LDAP中继 -> 基于资源的约束委派(RBCD)

当LmCompatibilityLevel注册表键设置为0、1或2时,这些攻击是可能的。这可以通过系统本身的注册表配置或通过组策略强制执行。

攻击1:认证降级

  1. 配置Responder以设置静态挑战并降级认证
  2. 从系统强制认证
  3. 破解传入的哈希
  4. Silver Ticket和/或DCSync

以下是完整攻击的演示:

首先,配置Responder使用静态挑战。默认情况下,这是随机的。为了能够使用彩虹表破解后续哈希,应将挑战设置为1122334455667788。

运行Responder时,应使用类似命令:

1

Responder.py -I [接口] --lm

--lm标志将允许您使用crack.sh的彩虹表几乎立即破解哈希。如果这不起作用,可以尝试--disable-ess标志。如果无法删除SSP,将无法使用crack.sh的彩虹表破解,但仍可以通过使用ntlmv1-multi重新格式化或使用assless-chaps(依赖于预计算的NT哈希数据库)用Hashcat枚举。

为了进一步了解各种NTLM哈希类型的格式,建议观看EvilMog的演讲——NTLMv1/NTLMv1-SSP剖析。

下一步是以任何您认为合适的方式强制认证。大多数这些技术至少需要某种级别的认证,但如果尚未应用安全更新,Petit Potam将无需认证即可工作。每个工具都有自己的语法,通常需要一组有效的域凭据以及侦听器和目标的IP。

一旦破解,您将恢复被强制认证的计算机帐户的NT哈希。然后可以使用该哈希制作Silver Ticket,进而用于获得对系统的管理访问权限。如果主机是域控制器,则可以直接通过PtH进行DCSync,而无需模拟任何其他帐户。

如果您想走Silver Ticket路线,NetNTLMtoSilverTicket GitHub仓库中有记录。还推荐这篇博客文章,它更详细地介绍了如何配置Silver Ticket。

1

ticketer.py -nthash [DC哈希] -domain-sid [域SID] -domain [域] -spn cifs/[DC主机名] -user-id [用户ID] -groups [域组ID] [用户名]

当然,您需要域的SID以及用户和组ID。您可能希望制作模拟现有域管理员的票证。通常从ldapdomaindump或BloodHound数据中获取这些值。可以使用破解的NT哈希以LM:NT格式使用Pass-the-Hash认证。

有时crack.sh宕机,因此破解哈希不是最佳选择,或者只是花费太长时间。虽然这种技术是最著名的,但存在一种同样有效的技术,完全不需要任何破解。

攻击2:LDAP中继

我从同事那里了解了这种攻击,但直到遇到Adam Crosser的优秀博客,才对NTLM降级攻击进行了全面深入的研究。这种攻击在我找到的另一篇博客文章中也提到过。众所周知,将SMB中继到LDAP是不可能的,因为SMB设置了一个标志,要求使用会话密钥对消息进行签名。没有此签名,认证将失败。这通常防止通过PrinterBug或Petit Potam强制认证被中继。由于NTLM包括整个NTLM协商的消息完整性代码(MIC),签名不能在传输中被剥离。

NTLMv1提供了例外,因为NTLMv1不支持计算MIC。使用Impacket的ntlmrelayx.py,可以指定--remove-mic标志。这最初是为了利用CVE-2019-1040,也称为“Drop the MIC”。

可以以几乎与利用CVE-2019-1040完全相同的方式利用NTLMv1。

攻击链如下:

  1. 设置ntlmrelayx.py以剥离MIC,同时执行RBCD攻击
  2. 强制认证
  3. 为模拟用户制作服务票证
  4. DCSync

这比上次攻击有更多先决条件:需要至少两个域控制器进行中继,并且它们至少需要处于Windows Server 2012功能级别才能使RBCD攻击工作。

首先,设置ntlmrelayx.py中继到其中一个域控制器:

1

ntlmrelayx.py -t ldaps://[域控制器] --remove-mic -smb2support --delegate-access

然后触发强制认证,目标是第二个域控制器。

认证随后被中继到LDAP,然后创建计算机帐户并通过将新计算机帐户的SID添加到域控制器的msDS-AllowedToActOnBehalfOfOtherIdentity属性来修改目标域控制器上的委派权限。

完成后,就可以执行基于资源的约束委派攻击。

然后可以创建服务票证,模拟域管理员。

1

getST.py -spn cifs/[中继的DC] -impersonate [域管理员] [创建的计算机]':[密码]

一旦创建此票证,就可以执行两种攻击从域控制器恢复NT哈希:

  • 在系统上以管理员身份获取命令shell,并使用ntdsutil等工具恢复NTDS.dit数据库
  • 对域控制器执行DCSync攻击,通过网络提取NT哈希

此外,此RBCD可以替换为影子凭据攻击。

推文内容:未在博客中提及,但您也可以将RBCD替换为影子凭据。优点:不需要创建计算机对象。缺点:需要ADCS / Server 2016+

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次