NTLM哈希深度解析：從原理到安全實踐

作為一名白帽子黑客，深入理解NTLM哈希機制對保障企業網絡安全至關重要。

1. NTLM哈希概述

NTLM（New Technology LAN Manager）是微軟推出的一套身份驗證協議套件，用于在Windows網絡中驗證用戶身份并保護通信安全。它通過客戶端-服務器之間的“挑戰/響應”機制工作，避免了明文密碼在網絡中的傳輸。

在Windows系統中，用戶的明文密碼不會直接存儲，而是會保存其密碼哈希值。本地用戶的密碼哈希存儲在SAM（Security Account Manager）數據庫中，而域內用戶的密碼哈希則保存在域控的NTDS.dit文件中。

2. LM Hash與NTLM Hash

2.1 LM Hash（LAN Manager Hash）

LM Hash是Windows早期采用的加密算法，由IBM設計，存在明顯安全缺陷。

LM Hash計算過程：

1. 將用戶密碼轉換為大寫，并轉換為16進制字符串
2. 不足14字節時使用0在后方補全
3. 將16進制字符串分成兩個7byte部分
4. 每部分轉換為56bit的比特流（不足左邊補0）
5. 每7bit為一組，每組末尾加0，重新組合
6. 分別用固定字符串"KGS!@#$%"作為Key進行DES加密
7. 將加密后的兩組結果拼接，得到最終的LM Hash值

LM Hash的安全缺陷：

• 密碼長度限制為14字符，強度不足7字符時，第二個分組加密結果固定為aad3b435b51404ee
• 不區分大小寫，降低了密碼空間
• 使用硬編碼密鑰和弱加密算法（DES）
• 可逆性較高，易于破解

2.2 NTLM Hash

為解決LM Hash的安全問題，微軟在Windows NT 3.1中引入了NTLM協議。

NTLM Hash計算過程：

1. 將用戶明文密碼轉換為十六進制格式
2. 對十六進制格式的密碼進行Unicode編碼（在每個字節后添加0x00）
3. 使用MD4摘要算法對Unicode編碼數據進行Hash計算

NTLM Hash生成示例：

明文密碼：12345
轉換成16進制：313233343536
轉換成unicode：310032003300340035003600
md4加密: 32ed87bdb5fdc5e9cba88547376818d4

NTLM Hash基于MD4算法，不可逆，相比LM Hash安全性顯著提高。從Windows Vista和Server 2003開始，微軟已默認禁用LM Hash。

3. NTLM認證流程

NTLM認證采用質詢/響應（Challenge/Response） 機制，分為本地認證和網絡認證兩種場景。

3.1 本地認證

用戶登錄系統時：

1. Windows調用winlogon.exe接收輸入密碼
2. 密碼交給lsass.exe進程，該進程在內存中存儲一份明文密碼
3. 將明文密碼加密為NTLM Hash
4. 與SAM文件中的NTLM Hash比對
5. 匹配則通過認證

3.2 網絡認證

網絡認證涉及三個消息交換：Type1（協商）、Type2（質詢）和Type3（身份驗證）。

1. Type1（協商）：客戶端向服務器發送Type1消息，包含認證主體、用戶、機器及所需安全服務等信息。
2. Type2（質詢）：服務器生成16位隨機Challenge，本地存儲后發送給客戶端。
3. Type3（響應）：客戶端使用用戶NTLM Hash加密Challenge，得到Net-NTLM Hash，封裝到Type3消息發送給服務器。
4. 驗證：服務器使用存儲的NTLM Hash同樣加密Challenge，比較自己計算的結果與客戶端發送的是否匹配。

此過程中，Net-NTLM Hash不同于NTLM Hash，它是由原始NTLM Hash與服務器Challenge計算得到的，不能直接用于哈希傳遞攻擊（PTH），但可通過暴力破解獲取明文密碼。

4. NTLM哈希的安全威脅

NTLM協議存在多種安全威脅，白帽子黑客需要了解這些攻擊手法以更好地防御它們。

4.1 哈希傳遞攻擊（Pass-the-Hash, PTH）

PTH攻擊利用NTLM認證的缺陷，使攻擊者能夠使用用戶的密碼哈希值進行NTLM認證，而無需明文密碼。

利用條件：

• 獲取了目標用戶的NTLM Hash
• 目標主機開放SMB等服務
• 目標系統上存在相同的用戶賬戶（在域環境中，域用戶哈希相同，成功率更高）

利用工具：

• Mimikatz：最常用的PTH工具

  privilege::debug
  sekurlsa::pth /user:administrator /domain:tisheng.test /ntlm:3ec403e7aee6461f12e8f7b644410605
  

• 成功后會彈出新窗口，可訪問遠程主機資源

4.2 Net-NTLM Relay攻擊

Net-NTLM Relay是一種中間人攻擊，將捕獲的Net-NTLM Hash重放到其他服務，模擬合法用戶執行惡意操作。

攻擊原理：

1. 攻擊者截取Net-NTLM Hash（Response消息）
2. 將Hash重放到其他使用NTLM認證的應用（如SMB、HTTP、LDAP）
3. 繞過認證簽名校驗，利用未啟用簽名的協議

Relay攻擊類型：

• Relay2SMB：重放到SMB服務器，直接控制目標服務器
• Relay2HTTP：重放到Exchange服務器，收發郵件等
• Relay2LDAP：在域環境中最有效，可提升權限、設置委派等

利用工具：

• impacket-smbrelayx.py：

  python3 smbrelayx.py -h 10.10.1.230 -c whoami
  

• impacket-ntlmrelayx.py：

  python3 ntlmrelayx.py -t smb://10.10.1.230 -c whoami -smb2support
  

4.3 NTLM哈希竊取技術

攻擊者通過多種手段誘使系統泄露NTLM哈希值：

1. LLMNR/NBNS毒化：利用名稱解析協議，當DNS解析失敗時，Windows會使用LLMNR/NBNS協議，攻擊者可響應這些請求并要求認證。
2. 惡意文件誘騙：
   • desktop.ini：修改文件夾圖標屬性指向惡意UNC路徑
   • scf文件：利用IconFile屬性支持UNC路徑的特性
   • 惡意快捷方式：創建指向遠程SMB服務器的快捷方式
3. 瀏覽器觸發：頁面中包含UNC路徑時，瀏覽器會嘗試請求并觸發NTLM認證
4. COM對象濫用：通過VBScript/PowerShell實例化Shell.Application、MSXML2.XMLHTTP等COM對象，向攻擊者控制的UNC路徑發起請求

近期漏洞利用：

• CVE-2025-24054：攻擊者通過釣魚郵件發送包含惡意.library-ms文件的ZIP壓縮包，用戶解壓后Windows Explorer會自動與惡意文件交互，觸發漏洞連接攻擊者控制的SMB服務器并泄露NTLM哈希。盡管微軟已發布補丁，但研究人員發現修復并不完整，仍存在繞過風險。

5. 防御措施與最佳實踐

作為白帽子黑客，了解攻擊手段后更需要掌握如何有效防御。

5.1 基礎防護措施

1. 及時安裝安全更新：立即安裝2025年3月的Windows安全更新，修復CVE-2025-24054等漏洞。
2. 禁用不必要的NTLM認證：在網絡環境中優先使用更安全的Kerberos認證。
3. 啟用SMB簽名：要求所有SMB通信必須簽名，防止Relay攻擊。
4. 強化密碼策略：使用復雜且長度超過14字符的密碼，避免LM Hash生成。

5.2 高級防護策略

1. 審計自啟動路徑：定期檢查Startup文件夾及Run注冊表，防止惡意腳本自啟動。
2. 限制COM組件濫用：通過組策略白名單管理Shell.Application、MSXML2.XMLHTTP等危險COM對象。
3. 控制UNC訪問：隔離或認證外部網絡共享訪問。
4. 部署多因素認證：增加認證層次，即使哈希泄露也能提供保護。
5. 啟用LAPS（本地管理員密碼解決方案）：確保每臺機器的本地管理員密碼不同，有效防御PTH橫向移動。
6. 網絡流量監控：部署IDS/IPS規則（如Snort 64742/64743）攔截異常NTLM認證流量。

5.3 深度防御實踐

1. 限制域管理員權限：避免域管理員賬戶登錄普通主機，減少憑證泄露風險。
2. 實施網絡分段：將網絡劃分為多個安全區域，限制橫向移動范圍。
3. 定期進行安全評估：使用Mimikatz、Responder等工具模擬攻擊，發現環境中的脆弱點。
4. 監控異常身份驗證嘗試：實施高級安全監控，及時發現和響應可疑活動。

6. 結語

NTLM協議由于其設計缺陷和歷史遺留問題，仍然是Windows環境中重要的安全攻擊面。作為一名白帽子黑客，深入理解NTLM哈希的工作原理和相關攻擊技術，有助于更好地評估和防御企業網絡的安全風險。

盡管微軟正在逐步推廣更安全的Kerberos認證協議，但在混合環境或工作組模式下，NTLM仍將繼續存在相當長的時間。防御縱深策略和持續安全測試是應對這些威脅的關鍵，即使是對已宣稱修復的漏洞也應保持警惕。

希望通過這篇技術文章，您能更全面地理解NTLM哈希的安全機制和威脅，為構建更安全的網絡環境貢獻力量。

---

本文僅用于安全研究和教育目的，請合法合規地使用這些技術知識。未經授權的網絡攻擊、數據竊取等行為均屬違法，需承擔法律責任。