ntlm_relay ntlm是一个嵌入式的协议，消息的传输依赖于使用ntlm的上层协议，比如SMB,LDAP,HTTP等。 那ntlm的上层协议是smb的情况下,ntlm_relay就是smb_relay。那如果上层协议是http，我们也可以叫做http_relay，但是都统称ntlm_relay。 reflet 如果Inventory Server和Target是同一台机子，那么也就是说...

原理 看这吧https://daiker.gitbook.io/windows-protocol/ntlm-pian/6#1-netntlm-v1-de-po-jie Net-NTLM v1 的破解 先上结论。只要获取到Net-NTLM v1，都能破解为NTLM hash。与密码强度无关。 具体操作如下。 1.修改Responder.conf里面的Challenge为11223344556...

在type2返回Challenge的过程中，同时返回了操作系统类型，主机名，netbios名等等。这也就意味着如果我们在能跟服务器进行ntlm 交流中，给服务器发送一个type1的请求，服务器返回type2的响应，这一步，我们就可以得到很多信息。前面我们说过ntlm是一个嵌入式的协议，消息的传输依赖于使用ntlm的上层协议，比如SMB,LDAP,HTTP等。我们以SMB为例。在目标主机开放了...

原理 用户凭借TGT票据向KDC发起针对特定服务的TGS_REQ请求，KDC使用krbtgt hash进行解密，如果结果正确，就返回用服务hash加密的TGS票据(这一步不管用户有没有访问服务的权限，只要TGT正确，就返回TGS票据，这也是kerberoating能利用的原因，任何一个用户，只要hash正确，可以请求域内任何一个服务的TGS票据 实验 域控 192.168.5.13...

Password Spraying 原理 本质上，通过以下Kerberos错误代码来加以利用 |用户状态|Kerberos错误| |—-|—-| |密码错误|KDC_ERR_PREAUTH_FAILED| 利用 DomainPasswordSpray DomainPasswordSpray是用PowerShell编写的工具，用于对域用户执行密码喷洒攻击。默认情况下，它...

域用户名枚举 原理 本质上，用户名枚举通过以下Kerberos错误代码来加以利用 |用户状态|Kerberos错误|说明| |—-|—-| |目前/已启用|KDC_ERR_PREAUTH_REQUIRED| 需要额外的预认证| |锁定/禁用|KDC_ERR_CLIENT_REVOKED|客户端凭证已被吊销| |不存在|KDC_ERR_C_PRINCIPAL_UNKNOWN |在Kerb...

Pass The Hash(Key) 凭据传递攻击 原理 由于在进行认证的时候，是用用户hash加密时间戳，即使在使用密码进行登录的情况下，也是先把密码加密成hash，再进行认证。因此在只有用户hash，没有明文密码的情况下也是可以进行认证的。不管是rubeus还是impacket里面的相关脚本都是支持直接使用hash进行认证。其中，如果hash的ntlm hash，然后加密方式是rc4，这...

组策略偏好 基础 SYSVOL SYSVOL是指存储域公共文件服务器副本的共享的文件夹，它们在域中所有的域控制器之间复制。Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上 所有的域组策略存储在： \\<DOMAIN>\SYSVOL\<DOMAIN...

AS-REPRoasting 原理 对于域用户，如果设置了选项”Do not require Kerberos preauthentication(不需要kerberos预身份验证)”，此时向域控制器的88端口发送AS_REQ请求，对收到的AS_REP内容(enc-part底下的ciper，因为这部分是使用用户hash加密session-key，我们通过进行离线爆破就可以获得用户hash)重...

Password Spraying 原理 本质上，通过以下Kerberos错误代码来加以利用 |用户状态|Kerberos错误| |—-|—-| |密码错误|KDC_ERR_PREAUTH_FAILED| 利用 DomainPasswordSpray DomainPasswordSpray是用PowerShell编写的工具，用于对域用户执行密码喷洒攻击。默认情况下，它...