深入詳解windows安全認證機制ntlm&Kerberos

來源:互聯網
上載者:User

標籤:改變   golden   div   相對   cli   帳號密碼   分發   漏洞   觀察   

0x01 為什麼要理解windows 安全認證機制:

加深對後續各種漏洞利用的理解深度,還是那句話,要知其然,更要知其所以然,不廢話,咱們直接開始

0x02 windows認證協議主要有以下兩種:

基於ntlm的認證方式,主要用在早期的windows工作群組環境中,認證的過程也相對比較簡單

另一種是基於Kerberos的認證方式,主要用在域環境中,下面就這兩種不同的認證方式做些簡要的通訊流程說明

0x03 關於ntlm認證流程簡要說明,如下:

 

0x04 我們可以清晰的看到,ntlm在域中的認證過程主要分為以下幾步:
第一步,首先在client輸入username,password和domain,然後client會把password hash後的值先緩衝到本地第二步,之後,client把username的明文發送給server(DC)第三步,DC會產生一個16位元組的隨機數,即challenge(挑戰碼),再傳回給client第四步,當client收到challenge以後,會先複製一份出來,然後和緩衝中的密碼hash再一同混合hash一次,混合後的值稱為response,之後client再將challenge,response及username一併都傳給server第五步,server端在收到client傳過來的這三個值以後會把它們都轉寄給DC第六步,當DC接到過來的這三個值的以後,會根據username到域控的帳號資料庫(ntds.dit)裡面找到該username對應的hash,然後把這個hash拿出來和傳過來的challenge值再混合hash第七步,將(6)中混合後的hash值跟傳來的response進行比較,相同則認證成功,反之,則失敗,當然,如果是本地登入,所有驗證肯定也全部都直接在本地進行了

 

0x05 關於ntlm的一點小結:


    它是一種基於挑戰(challenge)/響應(response)訊息互動模式的認證過程,從整個認證過程來看,安全確實不怎麼到位,也就是說入侵者只需要拿到一個系統管理員的hash,直接給dc認證就好了,反正賬戶名和網域名稱都知道,早期的pass the hash (psexec)確實就是通過這種方式來進行的,如果本地管理員的帳號密碼相同,其實不用密碼一樣可以被認證,我們所要做的就是不斷通過這種方式來嘗試拓展內網的其他機器,直到控制整個域,但後來的kb2871997,似乎改變了一些現狀,但也可能只是似乎

 

0x06關於kerberos的一些概述:


    相對於ntlm而言,kerberos的認證方式就要複雜的多,因為它提供了一個集中式的認證方式,在整個認證過程中總共要涉及到三方:用戶端,服務端和KDC [KeyDistribution Center 密鑰分發中心], 在Windows域環境中,KDC的角色由DC(Domain Controller[域控])來擔任,Kerberos是一種基於票據的認證方式,票據(Ticket)是用來安全的在證明伺服器和使用者請求的服務之間傳遞使用者的身份,同時也會傳遞一些附加資訊,用來保證使用Ticket的使用者必須是Ticket中指定的使用者,Ticket一旦產生,在存留時間內可以被Client多次使用來申請同一個Server的服務(票據竊取問題)

0x07kerberos的大致工作流程:


    說到這裡,我們大概也能明白,域中的用戶端要想訪問同域中的某個伺服器資源時,需要首先購買該服務端認可的票據,也就是說,用戶端在訪問伺服器之前需要預先買好票,等待服務驗票之後才能入場,但是這張票不能直接購買,還需要一張認購權證,也就是說用戶端在買票之前需要預先獲得一張認購權證,這張認購權證和進入伺服器的入場券均有KDC發售,下面就以來做簡要說明:

 

1)首先,用戶端(client)將域使用者的密碼hash一次並儲存,然後,以此hash來作為用戶端和KDC之間的長期共用密鑰[kc](當然,在DC上也儲存著同樣的一條hash)2)之後,用戶端(client)開始利用(1)中的域使用者密碼hash再把時間戳記,clientid,TGS id等資訊混合hash一次,然後向as(證明伺服器 [Authentication Server])伺服器進行請求3)as接到該請求後,利用長期共用密鑰(kc)進行解密,解密成功後,會返回給用戶端兩個票據  (1)加密的K(c,tgs)(用於用戶端後續向KDC發起請求),TGS Name/ID,時間戳記等,該票據由Kc加密  (2)票據授予票據(Ticket Granting Ticket,簡稱TGT),該票據是給TGS的,票據的內容包括K(c,tgs),Client身份資訊,網域名稱,時間戳記等,該票據由TGS的秘鑰加密,只有TGS能夠解密4)然後,用戶端會利用長期共用密鑰解密k(c,tgs),並利用該秘鑰加密產生一個Authenticator,內容包括:lifetime,時間戳記,Client身份資訊等,連同從AS擷取的TGT一併發送給TGS5)TGS利用自身的秘鑰解密TGT,擷取K(c,tgs),並用K(c,tgs)解密用戶端發送的Authenticator,對Client進行認證,如果Client通過了認證,TGS隨機產生一個Session Key K(c,s),併產生兩個票據  (1)服務票據(Ts):這是給伺服器的服務票據,由Server秘鑰Ks加密,內容包括:K(c,s),Client身份資訊,Service ID,時間戳記,lifetime等  (2)用戶端票據(Tc):該票據由K(c,tgs)加密,內容包括:K(c,s),Server身份資訊等6)用戶端收到tgs的回應後,利用K(c,tgs)解密Tc,擷取K(c,s),Server身份資訊等,並利用K(c,s)加密產生一個Authenticator發送給Server,內容包括:時間戳記,Client ID等資訊,連同Ts一併發送給Server7)Server端在收到Client的請求後,利用自身秘鑰Ks解密Ts,得到K(c,s),再利用K(c,s)解密Authenticator,對Client進行認證,如果認證通過,則表示KDC已經允許了此次通訊,此時Sever無需與KDC通訊,因為Ks為KDC和Sever之間的長期共用秘鑰,如果在有效時間內,則此次請求有效

 

0x08 關於kerberos利用方法:

1) 黃金票據(Golden Ticket)
    先假設這麼一種情況,原先已拿到的域內所有的賬戶hash,包括krbtgt這個賬戶,由於有些原因導致域管許可權丟失,但好在你還有一個普通域使用者權限,碰巧管理員在域內加固時忘記重設krbtgt密碼,基於此條件,我們還能利用該票據重新獲得網域系統管理員許可權,利用krbtgt的HASH值可以偽造產生任意的TGT(mimikatz),能夠繞過對任意使用者的帳號策略,讓使用者成為任意組的成員,可用於Kerberos認證的任何服務

2) 白銀票據(Silver Ticket)
    通過觀察Kerberos協議的認證過程不難發現,如果我們擷取了Server秘鑰Ks(伺服器口令散列值),就可以跳過KDC的認證,直接偽造票據和目標Server通訊

0x09關於黃金票據和白銀票據的一些區別:


1)存取權限不同

Golden Ticket: 偽造TGT,可以擷取任何Kerberos服務許可權Silver Ticket: 偽造TGS,只能訪問指定的服務

2)加密方式不同

Golden Ticket 由Kerberos的Hash加密Silver Ticket 由服務帳號(通常為電腦賬戶)Hash加密

3)認證流程不同

Golden Ticket 的利用過程需要訪問域控,而Silver Ticket不需要
小結:


   這些其實都是域內滲透最基礎的知識,所以覺得大家還是非常有必要多花點兒時間,好好深刻體會一下,另外,微軟給我們的建議是,盡量們不要直接使用NTLM,而使用negotiate,如果使用的是negotiate,windows則會先判斷kerberos是否可用,如果可用就優先使用kerberos,否則才會使用NTLM,kerberos的安全性確實要比NTLM要高很多

 

深入詳解windows安全認證機制ntlm&Kerberos

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.