DEV Community
·
凭证转储:NTLM哈希转储
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
NTLM(NT LAN Manager)是微软的安全协议,提供用户身份验证和加密。尽管已过时,但因兼容性仍被广泛使用。NTLM通过哈希存储用户密码,并使用挑战/响应机制进行身份验证。攻击者可通过NTLM凭证转储获取哈希,进而进行未授权访问。常用提取工具包括ProcDump和Mimikatz,需注意检测和误报风险。
🎯
关键要点
- NTLM(NT LAN Manager)是微软的安全协议,提供用户身份验证和加密。
- NTLM通过哈希存储用户密码,增强安全性,防止实际密码暴露。
- NTLM使用挑战/响应机制进行身份验证,确保用户身份的安全性。
- NTLM可以生成会话密钥,以加密客户端和服务器之间的通信。
- NTLM凭证转储是攻击者从受损Windows系统收集NTLM哈希的关键后期利用活动。
- 攻击者可以通过提取NTLM哈希进行未授权访问或网络内的横向移动。
- NTLM哈希通常存储在工作站的LSASS内存或域控制器的NTDS.dit文件中。
- 使用ProcDump、Mimikatz等工具可以提取NTLM哈希,存在未授权访问的风险。
- ProcDump是合法的Windows工具,攻击者利用其捕获LSASS内存中的敏感数据。
- 使用comsvcs.dll直接转储LSASS内存是一种不易被发现的方法。
- PowerSploit的MiniDump功能允许通过PowerShell转储LSASS内存,可能规避检测。
- Mimikatz是常用的凭证转储工具,可以提取NTLM哈希并执行传递哈希攻击。
- Windows Credential Editor(WCE)能够从机器中提取实时NTLM哈希。
➡️
