新申搏:NTLM 中继进击的几种非主流弄法 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

新申搏:NTLM 中继进击的几种非主流弄法

申博_人物事迹 申博 63次浏览 已收录 0个评论

申搏

申搏是菲律宾申博正版授权的游戏网站,收录了各种当下时兴的休闲策略以及棋牌类游戏,先进的经营理念和专业的策划团队为您筛选最优质内容,只给您最好的,申博开户一键完成,永久无忧,多款游戏免费玩,充值投注更有惊喜等你拿。

,

在企业构造中的罕见的一种平安风险是凭据重用,当进击者进击 NT LAN Manager 身份考证协定(以下简称 NTLM 身份考证)时就会涌现如许的风险,而这个协定一般会在 微软的 运动目次 中默许启用。

NTLM 认证中的不平安性已被平安研究人员发明凌驾15年了。该协定可以被滥用,经由历程一个称为“中继”的历程挟制受害者的会话,该历程经由历程将受害者的凭据转发到与预期差别的效劳来滥用受害者的凭据。在很多状况下,NTLM身份考证依然遭到默许的支撑和启用,尽管它已被更平安的Kerberos庖代,成为默许的身份考证要领。

在本博文中,我们将演示怎样运用NTLMrelayx将凭据中继到LDAP、IMAP和MSSQL,NTLMrelayx是有名的smbrelayx东西。 为了抵抗这类进击,你可以实行以下步伐:

·假如可以,在构造中完全禁用 NTLM 并切换到 Kerberos。

·假如没法禁用 NTLM ,请参考本博客文章中议论的设置和指点准绳章节,以下降凭据重用的风险。

NTLM 中继进击诠释

NTLM 认证是一种基于应战-相应的协定。 应战-相应协定运用一个同享的隐秘(在本例中是用户暗码)来考证客户端。 效劳器发送一个应战,客户端复兴这个应战的相应假如应战与效劳器盘算的应战相婚配,则身份考证将被接收。NTLM身份考证是一个庞杂的协定,这里对它的诠释比较简朴。可以在http://davenport.sourceforge.net/ntlm.html 中找到异常细致的形貌。

NTLM 身份考证流程

NTLM身份考证协定有三个步骤:

1.协商身份考证:NTLM身份考证的第一步是协定的协商,以及客户端支撑哪些特征。在此阶段,客户端向效劳器发送身份考证请求,包括客户端接收的NTLM版本。

2.效劳器应战:效劳器用本身的音讯举行相应,表明它接收哪一个NTLM版本,以及它想运用哪一个特征。此音讯还包括一个“应战”值,这在身份考证中异常重要。

3.身份考证相应:客户端依据应战发送回相应,并包括暗码所属的用户名和域。

在交换了这3条音讯以后,效劳器将返回一条音讯,表明身份考证胜利,或许身份考证失利。依据运用的协定,客户端与效劳器之间的会话如今经过了身份考证。这个历程如下图所示:

新申搏:NTLM 中继进击的几种非主流弄法

滥用 NTLM

作为进击者,假如可以压服客户端衔接到进击者,则此历程可以会被滥用。下一节将诠释怎样做到这一点。一旦进击者具有一个情愿举行身份考证的已衔接的客户端,那末他们就可以轻松地在客户端和效劳器之间将这3条音讯转发给效劳器,直到应战-相应周期完毕。

新申搏:NTLM 中继进击的几种非主流弄法

在对衔接举行身份考证时,进击者可以简朴地向客户端发送毛病音讯,或许删除衔接。 然后,进击者可以运用会话从中继身份考证的用户的高低文与效劳器交互。

交织协定的中继进击

NTLM 身份考证被封装在其他协定中,然则不管掩盖的协定是什么,音讯都是雷同的。 这许可在其他协定中运用 NTLM 音讯。 比方,运用 HTTP 举行身份考证的客户端会在“ Authorization”标头中发送 NTLM 身份考证音讯。 进击者可以从 HTTP 头中提取这些音讯,并在其他协定中运用它们,比方 SMB。

NTLM支撑多种协定,比方SMB、HTTP(S)、LDAP、IMAP、SMTP、POP3和MSSQL。

猎取流量

另有一点还没有诠释,那就是怎样让客户端衔接到进击者而不是真正的效劳器。有几种要领可以取得中继的通讯流量:

·以不平安体式格局剖析IP的主机的流量

·滥用自动发明协定发作的流量

·经由历程中间人进击取得的流量

不平安的称号剖析协定

申博新官网:卡巴斯基:2019Q3拒绝服务进击趋向报告

概述 在2019Q3中,我们观察到一种新型的DDoS攻击,证实了我们先前有关攻击者正通过Memcached协议进行攻击的假设。正如我们推测的那样,攻击者尝试使用另外一种不常见的协议来放大DDoS攻击。Akamai Technology的专家最近发现他们的一位客户曾遭受攻击,该攻击是借助WS-Discovery多播协议,通过欺骗返回IP地址来实现的。根据其他安全研究人员的说法,网络犯罪分子只是在最近才使用这个方法,但已经实现了高达350 Gbps的攻击能力。WSD协议的使用范围比较有限,通常不会用于连接到互联网的主机,设备往往会使用该协议在局域网中发现其他设备。然而,在实际使用中,却没有完全按照其预定用途来实现,我们

我们会经常碰到运用不平安协定的称号剖析通讯流量。 一般将工作站或效劳器设置为联络网络中不存在的主机,以及主机名没法运用DNS剖析的主机。 当这类状况发作时,Windows 工作站会退回到称号剖析协定,如 NBNS 和 LLMNR,它们依靠播送流量请求统一网络中的主机将主机名剖析为 IP 地点。 由于这个流量可以被统一网段中的一切主机检察(取决于防火墙设置) ,所以任何主机都可以复兴请求。 这使得进击者偶然机捏造请求称号的地点。 这个历程如下图所示。

新申搏:NTLM 中继进击的几种非主流弄法

自动发明协定

或许在过去的几年里,关于黑客们来讲,最臭名远扬的功用恐怕是 Windows 代办自动检测(WPAD)功用。这个特征将经由历程DNS查找一个名为WPAD的主机名,假如不能经由历程上面形貌的LLMNR和NBNS胜利查找到,则衔接到它能找到的第一个主机。 滥用这一特征变得越发轻易,由于当提醒举行身份考证时,工作站会自动尝试运用 NTLM 身份考证举行身份考证,然后可以被进击者实行中继进击。 微软在2016年6月已对个中的几个方面举行了修补,但偶然我们依然会在网络中碰到这类题目。

中间人进击

中间人进击(man-in-middle attack,即进击者接受受害者的流量),这类进击在企业网络中经常具有破坏性,尤其是在运用 ARP 诳骗等手艺时。 但是,当企业装备衔接到不受信托的网络(比方大众 WiFi 网络)时,进击者可以进击受害者并截获不受 TLS 庇护的流量,将其重定向到受害者工作站受信托的位置。 然后,受害者将自动考证是不是启用了自动内部网检测(这是默许的设置)。

新申搏:NTLM 中继进击的几种非主流弄法

运用 ntlmrelayx 在任何处所中继 NTLM

有几个东西可以滥用 NTLM 身份考证。 个中之一就是 smbrelayx,它是 Core Security 的 impacket 库的一部份。 NTLMrelayx 是由我们团队开辟的 smbrelayx 东西的扩大和部份重写。 它具有普遍的协定中继功用。 该东西接收多个目的,轮回遍历每一个目的以找到须要考证的体系。 该东西供应了一个 SMB 和 HTTP 效劳器,它可以从这些效劳器中继 NTLM 身份考证到 SMB、 HTTP、 IMAP、 LDAP 和 MSSQL。

中继到 SMB

中继到 SMB 是一种典范的进击手段,这已是 smbrelayx 中的一部份功用。这类进击会中继到 SMB 许可进击者在禁用 SMB 署名的主机上实行文件,假如被中继的用户在该主机上具有治理特权。 关于非治理员用户,ntlmrelayx 添加了启动 smbclient shell 的选项,该选项许可进击者与同享举行交互,比方下载或上传文件。 这类进击可以经由历程交互式标志(- i)来完成,它将生成一个当地 TCP shell,可以与比方 netcat 举行衔接。

中继到 LDAP

中继到 LDAP 是 ntlmrelayx 中的一个新增功用。 LDAP 是一个风趣的协定,由于它用于直接查询目次,目次中包括很多对进击者来讲风趣的信息。 更风趣的是,在默许状况下,域中的一切帐户(包括盘算机帐户)都可以读取大多数此类信息。 这就是 ntlmrelayx 与我们团队开辟的另一个东西 ldapdomaindump 集成的处所。 这个东西试图从域内网络尽量多的信息,包括用户、他们的组成员、域盘算机和域战略。

除了网络信息以外,还可以经由历程 LDAP 写入目次。 假如 ntlmrelayx 碰到具有域治理员权限的用户,它将建立一个新的域治理员帐户,这将马上让进击者完全掌握域:

中继到 IMAP

在当代版本的 Exchange 中,默许状况下不启用 NTLM 身份考证,但很多构造会经由历程其 Exchange 效劳器上的 IMAP 支撑 NTLM 身份考证。 这许可中继到 IMAP,让进击者直接接见受害者的电子邮件。 当中继到 IMAP 时,ntlmrelayx 可以挑选在电子邮件中搜刮关键字,或许只是下载用户指定收件箱中的一切最新电子邮件。

中继到 MSSQL

中继到 MSSQL 现在只是作为一个观点证实存在,然则可以在命令行上指定查询,这将在数据库中的受害者高低文中实行。

减缓

那末,企业构造该怎样应对这些进击呢? 上述一切进击都滥用了 NLTM 身份考证协定,因而唯一完全的处理方案是完全禁用 NTLM 并切换到 Kerberos。 但是,很多构造的遗留产物或操作体系不支撑 Kerberos 身份考证,因而禁用NTLM会对营业发作很大的影响。作为一个减缓要素,有几个设置可以举行启用,以最大限制地削减继电庇护的风险。

·启用 SMB 署名: SMB 署名将经由历程请求一切流量都举行署名来防备中继到 SMB。 署名须要用户暗码来考证音讯,因而中继衔接的进击者不能发送任何将被效劳器接收的流量,由于进击者没有受害者的暗码。

·启用 LDAP 署名: 与 SMB 署名相似,LDAP 署名可以防备中继到 LDAP 的无署名衔接。 应当注重的是,经由历程 TLS 衔接到 LDAP 被以为是有署名的,因而此设置不能防备经由历程 TLS 对 LDAP 的中继进击。

·启用扩大的身份考证庇护: 扩大的身份考证庇护有助于防备一些中继进击,确保用于衔接到效劳器的 TLS 通道与客户端考证时运用的通道雷同。 此设置重要适用于 IIS。

·启用 SPN 目的称号考证: SPN 目的称号考证是另一个减缓步伐,它经由历程考证客户端以为正在对其举行身份考证的目的称号来防备中继到SMB。假如称号与效劳器不婚配,则谢绝身份考证。

·确保内部网站运用 HTTPS: 当内部网站经由历程不平安的 HTTP 协定接见时,用户没法考证衔接的真实性。 经由历程强迫一切内部网站只能运用 HTTPS,中继效劳的效力就会大大下降。

防备中继进击的通例平安加固步伐

除了这些特定的效劳器端丈量以外,以下通例加固可以防备NTLM中继进击:

·禁用内部网络自动检测: 假如域中须要 NTLM 认证,请确保浏览器(重如果 Internet Explorer)只自动认证到可信托的网站。 经由历程组战略,可以禁用自动内部网络检测,而且只能自动认证到应当运用自动认证的内部网站白名单。 正如前面提到的,这里强烈发起只运用 HTTPS 网站。

·禁用 Windows 代办自动检测: 虽然 WPAD 的平安题目已大部份由微软 MS16-077 平安更新处理,但依然发起经由历程组战略禁用 WPAD。

·禁用 LLMNR/NBNS:: 在设置优越的网络中一般不须要这些不平安的称号剖析协定。 禁用它们会削减进击者举行称号剖析诳骗的可以性,从而使进击者更难诳骗受害者衔接到进击者的效劳器。

怎样取得 ntlmrelayx

NTLMrelayx 已提交到了 Impacket 代码堆栈,你可以在 Impacket 示例目次中找到。

本文翻译自:https://www.fox-it.com/en/insights/blogs/blog/inside-windows-network/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明新申搏:NTLM 中继进击的几种非主流弄法
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址