В статье рассмотрим еще одну технику взлома Windows, с помощью кражи и последующей расшифровки NTLM-хеша. В краже NTLM нам поможет бесплатная утилита Bad-PDF.
Еще по теме: Способы повышения привилегий в Windows
Что такое NTLM Hash
Microsoft Windows New Technology LAN Manager (NTLM) — это протокол сетевой аутентификации. NTLM пришла на замену Microsoft LAN Manager (LANMAN), более раннего продукта Подробно можете прочитать на Вики.
Кража NTLM-хеша с помощью Bad-PDF
Bad-PDF работает следующим образом. Тулза создает вредоносный PDF-документ для захвата NTLM (NTLMv1 / NTLMv2) хэшей Windows и через Responder (прослушиватель) проверяет хэши NTLM.
Для реализации нам понадобиться стенд:
- Атакующая виртуальная машина с Kali Linux
- Виртуальная машина жертвы Windows 10.
Установка Bad-PDF
Клонируйте Bad-PDF с GitHub на рабочий стол Kali Linux. Измените каталог на клонированный и дайте права на выполнение файлу Python Bad-PDF.
1 2 3 4 5 |
# git clone https://github.com/deepzec/Bad-Pdf.git # cd Bad-pdf/ # chmod +x badpdf.py # python badpdf.py # python2 badpdf.py |
Перехват NTLM-хэшей
Шаг 1: Запустите Bad-PDF.
Шаг 2: Введите IP-адрес виртуальной машины Kali Linux.
Шаг 3: Задайте имя файла и имя интерфейса.
После создания, вредоносный PDF-файл будет лежать в папке Bad-Pdf.
Шаг 4: Скиньте вредоносный Pdf-файл на целевой компьютер. Я, как правило, использую cifs-utils. При пентесте это можно сделать с помощью социальной инженерии.
Как только жертва запустит файл PDF, хеши NTLM будут перехвачены.
Шаг 5: Сохраните захваченный хеш в текстовый документ на рабочий стол Kali Linux, для дальнейшего взлома пароля.
Расшифровка NTLM-хеша с помощью John the ripper
Для взлома пароля используйте John the ripper или Hashcat. Я в данном примере, буду использовать John the ripper.
Мы взломали пароль администратора Windows 10.
Заключение
Kerberos, как и NTLM, — это протокол аутентификации, затрудняющий взлом паролей Windows. NTLM фокусируется на хешировании паролей, одностороннем методе, который генерирует фрагмент текста из входных данных.
Kerberos использует шифрование, двусторонний механизм, который шифрует и дешифрует данные с помощью ключа шифрования. NTLM действует как резервная копия протокола Kerberos, который в настоящее время является инструментом аутентификации Microsoft по умолчанию.
Еще по теме: Перехват хеша NTLM и брут пароля