通过一个NTLM协议,完成攻防两端的重要信息收集工作!

Newbee123  525天前

123.png

▌一、NTLM 协议对于攻防两端的价值

Windows 在很多接口中只要带有认证属性,基本上都是通过 NTLM 来进行的,这种情况下都能够利用。

NTLM 是基于各个协议的,在与 Windows 认证交互的过程中,NTLM 身份验证往往给出了大量的系统信息,如操作系统,主机名,版本号等等。

  • 攻击方通过该信息可以获得踩点的信息,内网横移的时候可以快速的进行资产的梳理,通过主机名也可以对该机器的账号密码做爆破等等;
  • 防守方通过该信息可以直接拿到攻击者服务器的信息,对收集线索、溯源等有很大的帮助。

通过 NTLM 可以远程获取大量关于当前机器的系统信息,本文将通过抓包的方式对 NTLM 协议进行介绍,同时对 FOFA 中已集成的 NTML 解析进行实战演示。

▌二、什么是NTLM?

NTLM 是 NT LAN Manager 的缩写,是 Microsoft 环境中使用的一种身份验证协议,也是 Windows NT 早期的标准版本协议。从 Windows 2000 开始对 NTLM 进行支持,至今已经存在了 20 多年。作为全球应用最广泛的操作系统之一,在 Windows 上存在了如此之久的 NTLM 协议仍然在所有Windows系统上维护, 足以见证其强大的生命力。

该协议系列包含在 Windows Msv1_0.dll 中,微软官方对 NTLM 的详细描述为:

NTLM authentication is a family of authentication protocols that are encompassed in the Windows Msv1_0.dll. The NTLM authentication protocols include LAN Manager version 1 and 2, and NTLM version 1 and 2.The NTLM authentication protocols authenticate users and computers ba sed on a challenge/response mechanism that proves to a server or domain controller that a user knows the password associated with an account.

核心知识点:NTLM 允许用户向服务器证明自己的身份,以便用户使用该服务器提供的服务。

▌三、知识点-如何提取NTLM信息?

我们先从 NTLM 的通信过程入手分析。NTLM 使用质询/应答(Challenge/Response)过程进行用户身份验证。

此过程包含三个步骤:

1. 客户端 --> 协商消息。

2. 服务器 --> 质询消息。

3. 客户端 --> 身份验证消息。

第一步,客户端发送协商消息

(案例都是以 5985WinRM 为例)客户端向服务端发送协商消息。抓包查看对应的信息如下:

9c24577f48ed249e87fa1357b7426db8.png

第二步,服务端质询消息

服务器用消息进行响应,这包含服务器支持和同意的功能列表。但是,最重要的是,它包含服务器产生的 Challenge这个消息中包含 Target_Name、Product_Version、OS 等等,能够非常准确的提取出来主机名和操作系统的版本。

抓包查看对应的信息如下:

de9775634c0afe05902d4bbcbd19c245.png官方文档:[MS-NLMP]: CHALLENGE_MESSAGE | Microsoft Learn

到这一步我们就获取到了想要的信息,介于本篇只讲NTLM对于信息收集的帮助,就不再讲此阶段的后续流程了。接下来给大家举一个NTLM信息提取的例子。

▌四、WinRM的NTLM提取

4.1 选择过程

我们先根据NTLM的介绍,通过FOFA进行初步的筛选,查找microsoft或者NTLM相关的资产。FOFA搜索语法:

banner="ntlm" || banner="microsoft"

39494563a84541ab13edfc6edbfdbfb1.png

通过搜索结果我们可以看到资产数量多的惊人,我们需要进一步的筛选,从端口排名出进行分析。

可以看到 TOP5 的端口为: 80、3389、443、135、5985。这里先排除 80(http默认端口,后面再分析)、3389(rdp早已经提取)、443(https默认端口,后面再分析)、135(dcerpc早已经提取)。那么只剩一个 5985 端口,在这看到 5985 有 54w+ 的数据,我们推测它可能是 Microsoft 某个产品的默认端口,利用搜索引擎分析后,发现其为 WinRM 的默认端口。

4.2 WinRM简介

WinRM 是 Windows 远程管理,Microsoft 对 WinRM 的介绍如下:

    WinRM 2.0: The default HTTP port is 5985, and the default HTTPS port is 5986.Windows Remote Management is one component of the Windows Hardware Management features that manage server hardwar.
    核心知识点:winRM可在本地和远程管理服务器硬件。

    我们根据前文介绍中 NTLM 的交互流程:

    1. 首先我们发送 **Authorization: Negotiate TlRMTVN. AAAADw==** 进行消息协商;

    2. 服务器用消息进行响应,消息大致如下:

      WWW-Authenticate:NegotiateTlRMTVNTUAACAAAAHgAeADgAAAAF  HVY/dgBAAAAAA==

      3. 服务器返回时用了 ba se64 编码,我们解码后将 Challenge 消息解析,即可获得Target_NameProduct_VersionOS 等非常丰富的信息。

      亮点:该 NTLM 的交互流程已经在 FOFA 中进行集成,直接根据该语句进行搜索即可查询公开 NTLM 协议的机器。

      FOFA 搜索语句:

      (banner="ntlm" || banner="microsoft") && (port="5985" || port="5986")

      在搜索结果页右侧的响应信息中,可以直接看到当前机器的操作系统、版本号、主机名等。

      362d2f6e1509983db523f11694c11305.jpg
      4.3 演示及场景

      NTLM 系列可以基于不同协议存在,例如:imap、http、mssql 协议等,看完文章后,大家一定要通过 FOFA 来感受一下效果:

      667a961759736f93454e3dc73dcabf93.jpg

      进阶用法:通过 NTLM 协议进行资产拓线可以利用提取的 name 对资产进行关联:

      • 分布在同一个地方
      • 组织相同
      • 集中分布在相同的网段
      • 主机名/版本号完全相同

      如图:

      497cc669f0d5bf9281b1b011b2c36b89.jpg

      ▌五、结语

      NTLM 为 Windows 资产提供了丰富的系统信息,我们将继续进行深度挖掘,欢迎大家基于此协议开发出更多奇思妙想的用法,更欢迎大家投稿于 FOFA,让更多人看到你的创意。现阶段 FOFA 已经上线基于 rdp、dcerpc、winrm、imap、imaps、http、smtp 等的 NTLM 信息提取。还有很多协议等着我们去做,如:telnet、pop3 等,后续我们会持续跟进,敬请持续关注!

      ▌六、参考文献

      https://learn.microsoft.com/en-us/windows-server/security/kerberos/ntlm-overview
      https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-nlmp/801a4681-8809-4be9-ab0d-61dcfe762786
      https://learn.microsoft.com/en-us/windows/win32/winrm/about-windows-remote-management

      ▌七、End

      欢迎各位白帽师傅们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。也欢迎投稿到 FOFA,审核通过后可加 5000-10000 社区积分哦,我们在积分商城准备了好礼,快来加入微信群体验吧~~~

      • 微信群:扫描下方二维码,加入FOFA社群!获取更多一手信息!

      d0b435d6e7434490f78e35313dd3d192.jpg

      最新评论

      昵称
      邮箱
      提交评论