17
NTLM. Часть 1 Pass-the-hash 16/06/2014 Alexey “GreenDog” Tyurin

Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Tags:

Embed Size (px)

DESCRIPTION

Мы поговорим о NTLM, SSO- аутентификации и об эксплуатации pass-the-hash техники. Плюс обсудим методы защиты, которые пришли к нам с новейшими версиями ОС.

Citation preview

Page 1: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

NTLM. Часть 1Pass-the-hash

16/06/2014Alexey “GreenDog” Tyurin

Page 2: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 2

about

- пентестер (Web, EBA, MS nets)- рубрика “Easy Hack” (Xakep)- co-org Defcon Russia, ZeroNights

https://twitter.com/[email protected]

https://twitter.com/antyurin
mailto:[email protected]
Page 3: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 3

NTLM

Как технология• Хранение паролей в ОС, в ActiveDirectory• Аутентификация• Auto Single-Sing-on

Основа атак на windows-сети

Page 4: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 4

Почему и Зачем?

• Почти все корпоративные сети построены на AD и windows

• Низкий уровень знаний админов• Возможность получить полный контроль

над всем• Нет реальной возможности полностью

защититься• Много тонкостей и трюков

Page 5: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 5

Хранение

Хранить пароли надо, но хранить plain-text’ом – плохо - NT хеш:MD4(UTF-16-LittleEndian(password)) - LM «хеш» (раньше)см. далее

Page 6: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 6

LM hashwiki:• Пароль пользователя как OEM-строка (Россия - cp866) приводится к

верхнему регистру.• Пароль дополняется нулями или обрезается до 14 байтов• Получившийся пароль разделяется на две половинки по 7 байтов.• Эти значения используются для создания двух ключей DES, по одному для

каждой 7-байтовой половинки, рассматривая 7 байтов как битовый поток и вставляя ноль после каждых 7 битов. Так создаются 64 бита, необходимые для ключа DES.

• Каждый из этих ключей используется для DES-шифрования ASCII-строки «KGS!@#$%», получая два 8-байтовых шифрованных значения.

• Данные шифрованные значения соединяются в 16-байтовое значение, являющееся LM-хешем.

До Windows Vista/2008 по умолчанию хранятся и LM-хеши

Page 7: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 7

NT и LM хеши

• Брутабельно• Можно использовать «радужные таблицы»• Сначала LM: по частям и без регистра

Чем: l0phtcrack, Cain, John-the-Ripper, HashCat…

Page 8: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 8

NTLM authNTLM v1

1) Когда юзер, хочет подключиться к серверу, то ОС отправляет запрос на подключение, содержащее имя юзера и домена2) Сервер генерирует 16-байтовое случайное значение (challenge) и отправляет его серверу (вместе с информацией об имени хоста, домена и т.д.)3) Клиент «хеширует» пароль вместе с challengeм и отправляет ответ на сервер.

Сервер проводит аналогичное «хеширование» на своей стороне и сравнивает хеши, определяя возможность доступа юзера.

При аутентификации в домене, сервер передают имя пользователя, challenge и хеш клиента с третьего шага на контроллер домена, где и происходит сравнение.

NTLM v2 – похож, добавлен клиентский challenge, для затруднения брута и защиты от «радужных» таблиц

Page 9: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 9

NTLM auth

• Основополагающий протокол виндовой Single-Sign-on• Глубокое внедрение:

- Почти любой протокол (http, smb, pop3, ftp…)- Почти все продукты/технологии M$- Включена по умолчанию

= Необходимо хранить NT-хеш

*Признан M$ как небезопасный протокол**Время жизни большое (смена пароля)

Page 10: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 10

Где хранить хеши?В файловой системе:• Локальный юзеры – SAM файл в каждой ОС• Доменные юзеры – NTDS.DIT на контроллере домена• Зашелдуреные таски, сервисы (всё, что с учётками и должно

работать после перезагрузки) - LSA secrets

В оперативной памяти:• Юзеры с активной сессией в ОС – LSASS (Local System Security

Authority Subsystem)

* На самом деле, Win так же хранят почти «plain-text» пароли и не NT-хеши паролей, но об этом потом

Page 11: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 11

Доступ к хешам. Кто?

• Админ (не ко всему)• NT AUTHORITY\SYSTEM+ Любой админ – это по сути SYSTEM+ Любой сервис - это по сути SYSTEM+ Любой юзер с опред. привилегиями (=~ админ)

= Необходимо поднимать привилегии

Page 12: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 12

Доступ к хешам. Чем?

• WCE http://www.ampliasecurity.com/research/wcefaq.html

• Mimikatz https://github.com/gentilkiwi/mimikatz

• Metasploit

• + куууча олдскульных тулз (cain&abel, *dump)

http://www.ampliasecurity.com/research/wcefaq.html
http://www.ampliasecurity.com/research/wcefaq.html
http://www.ampliasecurity.com/research/wcefaq.html
https://github.com/gentilkiwi/mimikatz
Page 13: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 13

Что дальше?

Pass-the-Hash

• Почти все модули Metasploit поддерживают PtH-аутентификацию (Psexec, shares, ms sql …)

• Xfreerdp для RDP (для Win 8.1, 2012)• С помощью WCE можно «прошить» краденный хеш

почти в любое приложение

Page 14: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 14

PtH. Что можем?• «Горизонтальное» повышение привилегийЕсть хеш локального админа на одном хосте, он же подходит на другие* С Windows Vista|2008 – локальный админ по умолчанию отключен

DC

* Server =~ server or client computer** DC – Domain Controller

Page 15: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 15

PtH. Что можем?• Повышение привилегийЕсть хеш локального админа на хосте и из памяти получаем хеш доменного админа

DC

* Server =~ server or client computer** DC – Domain Controller

Page 16: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 16

PtH. Защита• Полная - отсутствует

• Есть возможность защититься при комплексном подходе:- Ограничить использование привилегированных учёток- Отключение/запрет на удалённый доступ локальных- «Безопасные» методы аутентификации- фаерволы, патчи…

Page 17: Tyurin Alexey - NTLM. Part 1. Pass-the-Hash

Defcon Russia (DCG #7812) 17

Q?

https://twitter.com/[email protected]

https://twitter.com/antyurin
mailto:[email protected]

The NTLM family cons

The NTLM family cons

Documents
Autenticando o SQUID No AD via NTLM v3

Autenticando o SQUID No AD via NTLM v3

Documents
Sir walter scott (by egor tyurin. form 10 v)

Sir walter scott (by egor tyurin. form 10 v)

Education
Alexey Hwang

Alexey Hwang

Sports
[MS-NLMP]: NT LAN Manager (NTLM) Authentication Protocol

[MS-NLMP]: NT LAN Manager (NTLM) Authentication Protocol

Documents
Alexey Rybnikov

Alexey Rybnikov

Documents
Alexey titarenko

Alexey titarenko

Art & Photos
· Web viewIf NTLM is supported, the server includes the word "NTLM" in the list. The messages involved are formally described in section 2.2. 1.8 Vendor-Extensible Fields The NTLM

· Web viewIf NTLM is supported, the server includes the word "NTLM" in the list. The messages involved are formally described in section 2.2. 1.8 Vendor-Extensible Fields The NTLM

Documents
Tyurin exploitation of xml-based attacks

Tyurin exploitation of xml-based attacks

Documents
Alexey Barabashev

Alexey Barabashev

Documents
Ntlm Unsafe

Ntlm Unsafe

Technology
Alexey Morozov

Alexey Morozov

Documents
Alexey Tyurin - Accounting hacking — arch bugs in MS Dynamics GP

Alexey Tyurin - Accounting hacking — arch bugs in MS Dynamics GP

Technology
Windows NTLM SSO weak. . . soooo weak.grutz.jingojango.net/presentations/NTLM SSO - DeepSec08.pdf · 2016-04-19 · grutz @ jingojango.net NTLM SSO Slide # Windows (NTLM) Authentication

Windows NTLM SSO weak. . . soooo weak.grutz.jingojango.net/presentations/NTLM SSO - DeepSec08.pdf · 2016-04-19 · grutz @ jingojango.net NTLM SSO Slide # Windows (NTLM) Authentication

Documents
company, Alexey Lebedev Episodes completed 15/25 Genre Comedy Target group 16+ Timing 22’ Producer Lebedev Alexey Script writer Lebedev Alexey Director Lebedev Alexey Production

company, Alexey Lebedev Episodes completed 15/25 Genre Comedy Target group 16+ Timing 22’ Producer Lebedev Alexey Script writer Lebedev Alexey Director Lebedev Alexey Production

Documents
ntlm message - pvv.org

ntlm message - pvv.org

Documents
Authentification LM NTLM Windows

Authentification LM NTLM Windows

Documents
winprotocoldoc.blob.core.windows.net... · Web viewThe server responds with a list of supported authentication mechanisms. If NTLM is supported, the server will include the word "NTLM"

winprotocoldoc.blob.core.windows.net... · Web viewThe server responds with a list of supported authentication mechanisms. If NTLM is supported, the server will include the word "NTLM"

Documents
Microsoft...  · Web viewNone of the flags specified in [MS-NLMP] section 3.1.1 are specific to NTLM. The following is a description of how POP3 uses NTLM. All NTLM messages are

Microsoft...  · Web viewNone of the flags specified in [MS-NLMP] section 3.1.1 are specific to NTLM. The following is a description of how POP3 uses NTLM. All NTLM messages are

Documents
Understanding the Windows SMB NTLM …...Understanding the Windows SMB NTLM Authentication Weak Nonce Vulnerability BlackHat USA 2010 Vulnerability Information ‣ Flaws in Windows’

Understanding the Windows SMB NTLM …...Understanding the Windows SMB NTLM Authentication Weak Nonce Vulnerability BlackHat USA 2010 Vulnerability Information ‣ Flaws in Windows’

Documents
MS systems use one of the following: LanManager Hash (LM) LanManager Hash (LM) NT LanManager (NTLM) NT LanManager (NTLM) Cached passwords Cached passwords

MS systems use one of the following: LanManager Hash (LM) LanManager Hash (LM) NT LanManager (NTLM) NT LanManager (NTLM) Cached passwords Cached passwords

Documents
Introduction · Web viewCapability Negotiation: The NTLM Authentication: SMTP Extension does not support negotiation of the NTLM Authentication Protocol (as specified in [MS-NLMP])

Introduction · Web viewCapability Negotiation: The NTLM Authentication: SMTP Extension does not support negotiation of the NTLM Authentication Protocol (as specified in [MS-NLMP])

Documents
[MS-NTHT]: NTLM Over HTTP Protocol · [MS-NTHT]: NTLM Over HTTP Protocol Intellectual Property Rights Notice for Open Specifications Documentation Technical Documentation. Microsoft

[MS-NTHT]: NTLM Over HTTP Protocol · [MS-NTHT]: NTLM Over HTTP Protocol Intellectual Property Rights Notice for Open Specifications Documentation Technical Documentation. Microsoft

Documents
Kerberos, NTLM and LM-Hash

Kerberos, NTLM and LM-Hash

Technology
Alexey Sigalov and Alexey Skuratov Educational …...Alexey Sigalov and Alexey Skuratov Educational Portals and Open Educational Resources in the Russian Federation Moscow 2012 UNESCO

Alexey Sigalov and Alexey Skuratov Educational …...Alexey Sigalov and Alexey Skuratov Educational Portals and Open Educational Resources in the Russian Federation Moscow 2012 UNESCO

Documents
CIRCOLATORI NTLM, NTMB, FC

CIRCOLATORI NTLM, NTMB, FC

Documents
NTLM - system-center.me

NTLM - system-center.me

Documents
Alexey Tyurin - HR Hacking — bugs in PeopleSoft

Alexey Tyurin - HR Hacking — bugs in PeopleSoft

Technology
Alexey Tumakov

Alexey Tumakov

Sports
Sir philip sidney (by egor tyurin. form 10 v)

Sir philip sidney (by egor tyurin. form 10 v)

Education