通过一个NTLM协议,完成攻防两端的重要信息收集工作!
▌一、NTLM 协议对于攻防两端的价值
Windows 在很多接口中只要带有认证属性,基本上都是通过 NTLM 来进行的,这种情况下都能够利用。
NTLM 是基于各个协议的,在与 Windows 认证交互的过程中,NTLM 身份验证往往给出了大量的系统信息,如操作系统,主机名,版本号等等。
- 攻击方通过该信息可以获得踩点的信息,内网横移的时候可以快速的进行资产的梳理,通过主机名也可以对该机器的账号密码做爆破等等;
- 防守方通过该信息可以直接拿到攻击者服务器的信息,对收集线索、溯源等有很大的帮助。
通过 NTLM 可以远程获取大量关于当前机器的系统信息,本文将通过抓包的方式对 NTLM 协议进行介绍,同时对 FOFA 中已集成的 NTML 解析进行实战演示。
▌二、什么是NTLM?
NTLM 是 NT LAN Manager 的缩写,是 Microsoft 环境中使用的一种身份验证协议,也是 Windows NT 早期的标准版本协议。从 Windows 2000 开始对 NTLM 进行支持,至今已经存在了 20 多年。作为全球应用最广泛的操作系统之一,在 Windows 上存在了如此之久的 NTLM 协议仍然在所有Windows系统上维护, 足以见证其强大的生命力。
该协议系列包含在 Windows Msv1_0.dll 中,微软官方对 NTLM 的详细描述为:
NTLM authentication is a family of authentication protocols that are encompassed in the Windows Msv1_0.dll.
The NTLM authentication protocols include LAN Manager version 1 and 2, and NTLM version 1 and 2.
The NTLM authentication protocols authenticate users and computers ba sed on a challenge/response mechanism that proves to a server or domain controller that a user knows the password associated with an account.
核心知识点:NTLM 允许用户向服务器证明自己的身份,以便用户使用该服务器提供的服务。
▌三、知识点-如何提取NTLM信息?
我们先从 NTLM 的通信过程入手分析。NTLM 使用质询/应答(Challenge/Response)过程进行用户身份验证。
此过程包含三个步骤:
1. 客户端 --> 协商消息。
2. 服务器 --> 质询消息。
3. 客户端 --> 身份验证消息。
第一步,客户端发送协商消息
(案例都是以 5985WinRM 为例)客户端向服务端发送协商消息。抓包查看对应的信息如下:
第二步,服务端质询消息
服务器用消息进行响应,这包含服务器支持和同意的功能列表。但是,最重要的是,它包含服务器产生的 Challenge这个消息中包含 Target_Name、Product_Version、OS 等等,能够非常准确的提取出来主机名和操作系统的版本。
抓包查看对应的信息如下:
官方文档:[MS-NLMP]: CHALLENGE_MESSAGE | Microsoft Learn
到这一步我们就获取到了想要的信息,介于本篇只讲NTLM对于信息收集的帮助,就不再讲此阶段的后续流程了。接下来给大家举一个NTLM信息提取的例子。
▌四、WinRM的NTLM提取
4.1 选择过程
我们先根据NTLM的介绍,通过FOFA进行初步的筛选,查找microsoft或者NTLM相关的资产。FOFA搜索语法:
banner="ntlm" || banner="microsoft"
通过搜索结果我们可以看到资产数量多的惊人,我们需要进一步的筛选,从端口排名出进行分析。
可以看到 TOP5 的端口为: 80、3389、443、135、5985。这里先排除 80(http默认端口,后面再分析)、3389(rdp早已经提取)、443(https默认端口,后面再分析)、135(dcerpc早已经提取)。那么只剩一个 5985 端口,在这看到 5985 有 54w+ 的数据,我们推测它可能是 Microsoft 某个产品的默认端口,利用搜索引擎分析后,发现其为 WinRM 的默认端口。
4.2 WinRM简介
WinRM 是 Windows 远程管理,Microsoft 对 WinRM 的介绍如下:
WinRM 2.0: The default HTTP port is 5985, and the default HTTPS port is 5986.
Windows Remote Management is one component of the Windows Hardware Management features that manage server hardwar.
核心知识点:winRM可在本地和远程管理服务器硬件。
我们根据前文介绍中 NTLM 的交互流程:
1. 首先我们发送 **Authorization: Negotiate TlRMTVN. AAAADw==** 进行消息协商;
2. 服务器用消息进行响应,消息大致如下:
WWW-Authenticate:Negotiate
TlRMTVNTUAACAAAAHgAeADgAAAAF HVY/dgBAAAAAA==
3. 服务器返回时用了 ba se64 编码,我们解码后将 Challenge 消息解析,即可获得Target_Name、Product_Version、OS 等非常丰富的信息。
亮点:该 NTLM 的交互流程已经在 FOFA 中进行集成,直接根据该语句进行搜索即可查询公开 NTLM 协议的机器。
FOFA 搜索语句:
(banner="ntlm" || banner="microsoft") && (port="5985" || port="5986")
在搜索结果页右侧的响应信息中,可以直接看到当前机器的操作系统、版本号、主机名等。
4.3 演示及场景
NTLM 系列可以基于不同协议存在,例如:imap、http、mssql 协议等,看完文章后,大家一定要通过 FOFA 来感受一下效果:
进阶用法:通过 NTLM 协议进行资产拓线可以利用提取的 name 对资产进行关联:
- 分布在同一个地方
- 组织相同
- 集中分布在相同的网段
- 主机名/版本号完全相同
如图:
▌五、结语
NTLM 为 Windows 资产提供了丰富的系统信息,我们将继续进行深度挖掘,欢迎大家基于此协议开发出更多奇思妙想的用法,更欢迎大家投稿于 FOFA,让更多人看到你的创意。现阶段 FOFA 已经上线基于 rdp、dcerpc、winrm、imap、imaps、http、smtp 等的 NTLM 信息提取。还有很多协议等着我们去做,如:telnet、pop3 等,后续我们会持续跟进,敬请持续关注!
▌六、参考文献
https://learn.microsoft.com/en-us/windows-server/security/kerberos/ntlm-overview
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-nlmp/801a4681-8809-4be9-ab0d-61dcfe762786
https://learn.microsoft.com/en-us/windows/win32/winrm/about-windows-remote-management
▌七、End
欢迎各位白帽师傅们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。也欢迎投稿到 FOFA,审核通过后可加 5000-10000 社区积分哦,我们在积分商城准备了好礼,快来加入微信群体验吧~~~
- 微信群:扫描下方二维码,加入FOFA社群!获取更多一手信息!
最新评论