Question

Elad Shamir 进行了广泛的研究，并且清楚地分析了如何在不接触 LSASS 的情况下获取 NTLM 散列值。在这种攻击方法出现之前，Windows 10 企业版和 Windows Server 2016 操作系统中提供保护机制 - 通过 mimikatz 访问 LSASS 无法获取散列法。Elad 开发了一种称为 Internal Monologue 的攻击方法，操作方法如下所示。

• 如上所述，通过将 LMCompatibilityLevel、NTLMMinClientSec 和 RestrictSending- NTLMTraffic 更改为适当的值，禁用 NetNTLMv1 防护机制。
• 从当前正在运行的进程中，检索所有非网络登录令牌，并模拟关联的用户。
• 对于每个模拟用户，在本地与 NTLM SSP 交互，在模拟用户的安全上下文中，获取所选质询的 NetNTLMv1 响应。
• 恢复 LMCompatibilityLevel、NTLMMinClientSec 和 RestrictSendingNTLMTraffic 原始值。
• https://github.com/eladshamir/Internal-Monologue，如图 8.4 所示。

图 8.4