渗透技巧——利用 PHP 脚本从浏览器中获得 Net-NTLM hash

Question

0x00 前言

在上篇文章 《渗透技巧——通过 HTTP 协议获得 Net-NTLM hash》 介绍了通过 HTTP 协议获得客户端当前登录用户 Net-NTLM hash 的方法，侧重于介绍原理和思路，本文将要给出一个具体的实现方法，利用 PHP 脚本模拟 Net-NTLM 认证过程，提取出客户端的 Net-NTLM hash

0x01 简介

本文将要介绍以下内容：

• Net-NTLM 认证过程
• 利用 PHP 脚本模拟认证过程
• 脚本编写细节
• 实际测试

0x02 Net-NTLM 认证过程

参考资料：https://www.innovation.ch/personal/ronald/ntlm.html

依然使用这幅图，如下图

注：图片截取自 https://www.innovation.ch/personal/ronald/ntlm.html

0x03 利用 PHP 脚本模拟认证过程

想要通过 PHP 脚本模拟 Net-NTLM 认证过程，主要考虑的是 Server 端的实现

1、发送 WWW-Authenticate: NTLM

接收 Client 的 GET 请求，回复 401 Unauthorized WWW-Authenticate: NTLM ，提示 Client 需要 NTLM 认证

2、发送 WWW-Authenticate: NTLM <base64-encoded type-2-message>

接收 Client 的 Type-1-Message ，回复 Type-2-message

The Type 2 Message 的结构如下：

Offset	Description	Content
0	NTLMSSP Signature	Null-terminated ASCII "NTLMSSP" (0x4e544c4d53535000)
8	NTLM Message Type	long (0x02000000)
12	Target Name	security buffer
20	Flags	long
24	Challenge	8 bytes
(32)	Context (optional)	8 bytes (two consecutive longs)
(40)	Target Information (optional)	security buffer
(48)	OS Version Structure (Optional)	8 bytes

详细参数说明可参考：http://davenport.sourceforge.net/ntlm.html

值得注意的参数为 Flags 和 Challenge

Challenge 是使用 hashcat 破解 Net-NTLM hash 的必须参数

Flags 包含多种类型，一个简单的 Flags 示例，如下图

对应的数据格式如下图

3、解析 Type-3-message

Type-3-message 包含 Client 加密后的 Net-NTLM hash 消息，提取出对应格式的数据可用于破解

Type-3-message 示例如下图

这里需要注意每个参数的存储格式

short   Length;
short   Maxlen;
short   Offset;

Offset 对应参数具体内容的偏移地址

4、发送网页内容

Server 向 Client 提供最终的请求内容

0x04 脚本编写细节

为了便于测试，不会对用户提交的凭据做验证，直接在 HTTP 的回复内容中返回用户的验证凭据

完整 POC 代码已开源，地址如下：

..//Writeup/master/catchyournetntlm.php

POC 代码基于 https://loune.net/2007/10/simple-lightweight-ntlm-in-php/

做了以下优化：

1、不再局限于 apache module

原脚本只能在 apache 下使用

2、提取 Net-NTLM hash

原脚本输出 Client 的三个属性： $user $domain $workstation

新脚本添加了文件格式解析的功能，提取出 HMAC-MD5 和 blob

脚本细节：

原 POC 中的 function get_msg_str($msg, $start, $unicode = true)

在调用 $user = get_msg_str($msg, 36); 时，由于之前的 Flags 指定了 unicode ，所以默认执行以下代码：

if ($unicode)
        return str_replace("\0", '', substr($msg, $off, $len));

会自动去除字符串中的 0x00

而在提取 HMAC-MD5 和 blob 时，需要保留 0x00 ，所以我们要传入参数 false，不对字符 0x00 进行过滤

具体的代码为：

$Response = get_msg_str($msg, 20,false);

至于 challenge ，在脚本中指定为 0x0000000000000000 ，所以最后拼接 hashcat 的格式时直接设置为 0x0000000000000000 即可

0x05 实际测试

1、本地测试

Server：

安装 apache 环境

简单的配置方法: 安装 phpstudy

上传脚本 catchyournetntlm.php

Client：

修改 IE 配置文件，将登录方式修改为 Automatic logon with current user name and password

对应命令如下：

REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 1A00 /t REG_DWORD /d 00000000 /f

注：域环境下不需要这个设置

Client 访问服务器上的 catchyournetntlm.php，服务器获得用户的 Net-NTLM hash，提取出固定格式返回至 Client

Client 显示如下图

数据可直接用于 hashcat 的破解

2、在线测试

https://evi1cg.me/test.php

服务器使用 nginx，未使用 apache

注：nginx 下脚本的优化由 evilcg 完成

Client 使用默认登录方法，访问该网址弹出对话框提示输入密码，如下图

任意输入，获得输入内容的 Net-NTLM hash，如下图

将 Client 的登录方式修改为 Automatic logon with current user name and password ，访问该网址自动获得 Client 当前用户的 Net-NTLM hash，如下图

0x06 小结

本文介绍了利用 PHP 脚本从浏览器中获得 Net-NTLM hash 的方法，分享脚本编写细节，实际测试该方法的效果。