windows认证

1.windows本地认证

登陆的时候用户提供账号密码进行认证。

2.我的密码在哪里

$systemroot$/system32/config/sam
“密码”与“密码”进行比对。

3.NTML(NT LAN Manager) Hash

密码在sam中如何表现呢?

密文一般是采用存储hash(摘要)。

windows中采用NTLM Hash进行认证,NTLM Hsh是支持Net NTLM认证协议和本地认证的一个参与物,长度32位。子母河数字组成。保存在了sam总。

NTML的前身是LM Hash,目前基本被淘汰,但是依旧存在一些老版本。(xp)

4.NTMLM Hash 产生

算法具体流程。

5.本地认证流程

winlogin.exe -> lsass.exe ->认证比价

windows login process:NT用户登陆程序,管理登录和退出。
lasaa:用户微软windows系统的安全机制,用于本地安全和登陆策略。

6.LM Hash

7.windows网络认证

在工作组中,机器之间没有相互信任的一个机制,只能点对点,没有信托机构。要想登陆其他用户的主机,只能使用被登陆机器上的用户账号密码。分发起来也不方便。

常见的服务:SMB服务(文件共享协议 ),端口445

8.NTLM 协议

早期是smb协议在网络上明文传输口令,后来出现了LAN Manager Challenge/Response验证机制,简称LM,如此简单就容易被破解。

windows NT 挑战/相应,NTLM。现在smb也是基于NTLM运行。目前有了NTLMv2和kerberos(域环境)验证体系。

9.挑战/相应

协商

确认是v1还是v2,当然不止那么一点点。

质询

客户端向服务端发送用户信息(用户名)请求

服务器接受,生成16位随机数,称之为“challenge”,使用登陆用户名对应的NTLM Hash(判断用户是否允许登陆,是否存在用户),生成challenge1。同时将challenge(16位字符)发送给客户端。

客户端接受Challenge后,使用将要登陆道账户对应的NTLM hash加密Challenge生成Response,将之发送服务端。

验证

服务端接受后,比对Chanllenge1与Response比对,相等认证通过。

10.NTLM v2协议

更加安全。但是机制不同。v2和v1的Challenge加密算法不同,原料都是NTLM Hash。

challage

v1:8位,DES
v2:16位HMAC-MD5

11.pass the hash(哈希传递)

必要条件

需要用户名

需要被传递的认证用户的NTLM Hash。

原理

满足了NTLM 认证的流程,虽然没有实际用户登陆的过程。

就是使用用户名对应的NTLM hash将服务器给的Challenge加密生成response完成认证。

12.工具

Smbmap

smbexec

metasploit

crackmapexec

13.Active Directory(活动目录)

AD是安装在了DC上的东西。

功能

14.域认证体系-kerbroes

实现了不依赖于主机操作系统的认证,无需主机地址信任,不要求网络主机操作系统认证,假定网络上所有数据都是不被信任的。第三方,传统的密码技术执行认证服务的。

参与的角色

Client

Server

KDC(key distribution center) = DC

认证流程-粗略版本

客户端获取的ticket

第三步

白银票据

  1. 不需要与kdc交互,直接在第三部交互。
  2. 需要目标服务的NTLM Hash

只能针对票据,一切都数据都是来源于server hash

伪造

mimikatz

kerberos::list列出票据
kerberos::purge清除票据
1.导出hash
mimikatz.exe "privilege::debug" "sekurlsa::logonpassword" "exit" > log.txt
2.伪造
mimikatz "kerberos::golden /domain:<域名> /sid:<域sid> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt" exit
注意:用户名可以随意填写,不会验证。

生成票据加载到内存中。

防御措施

黄金票据

特点

  1. 需要与dc通信
  2. 需要krbtgt用户的hash(KDC hash)

伪造TGT,通过TGT去申请不同服务器的ticket,访问目标服务器。

msf

使用

mimikatz伪造

票据总结

15.windows access token

组成

令牌假冒