DEV Community
·
凭证转储:NTLM哈希转储
内容提要
NTLM(NT LAN Manager)是微软的安全协议,提供用户身份验证和加密。尽管已过时,但因兼容性仍被广泛使用。NTLM通过哈希存储用户密码,并使用挑战/响应机制进行身份验证。攻击者可通过NTLM凭证转储获取哈希,进而进行未授权访问。常用提取工具包括ProcDump和Mimikatz,需注意检测和误报风险。
关键要点
-
NTLM(NT LAN Manager)是微软的安全协议,提供用户身份验证和加密。
-
NTLM通过哈希存储用户密码,增强安全性,防止实际密码暴露。
-
NTLM使用挑战/响应机制进行身份验证,确保用户身份的安全性。
-
NTLM可以生成会话密钥,以加密客户端和服务器之间的通信。
-
NTLM凭证转储是攻击者从受损Windows系统收集NTLM哈希的关键后期利用活动。
-
攻击者可以通过提取NTLM哈希进行未授权访问或网络内的横向移动。
-
NTLM哈希通常存储在工作站的LSASS内存或域控制器的NTDS.dit文件中。
-
使用ProcDump、Mimikatz等工具可以提取NTLM哈希,存在未授权访问的风险。
-
ProcDump是合法的Windows工具,攻击者利用其捕获LSASS内存中的敏感数据。
-
使用comsvcs.dll直接转储LSASS内存是一种不易被发现的方法。
-
PowerSploit的MiniDump功能允许通过PowerShell转储LSASS内存,可能规避检测。
-
Mimikatz是常用的凭证转储工具,可以提取NTLM哈希并执行传递哈希攻击。
-
Windows Credential Editor(WCE)能够从机器中提取实时NTLM哈希。
延伸问答
NTLM是什么?
NTLM(NT LAN Manager)是微软的一套安全协议,提供用户身份验证和加密。
NTLM如何存储用户密码?
NTLM通过哈希存储用户密码,增强安全性,防止实际密码暴露。
攻击者如何提取NTLM哈希?
攻击者可以使用工具如ProcDump、Mimikatz等从LSASS内存中提取NTLM哈希。
NTLM凭证转储的风险是什么?
NTLM凭证转储可能导致未授权访问和网络内的横向移动。
使用ProcDump提取NTLM哈希的检测策略是什么?
检测策略包括监控事件ID 4688,检查进程名称为'procdump.exe'和命令行包含'lsass.exe'。
Mimikatz工具的功能是什么?
Mimikatz可以提取LSASS内存中的NTLM哈希,并执行传递哈希攻击。
