使用wireshark抓取NTLM,學習它的整個流程
這個我是在192.168.136.128上弄個一個共享文件夾,然后使用192.168.136.129去訪問SMB認證,就會有NTLM產生(非域環(huán)境)
NTLM 第一步:協(xié)商(type 1),client協(xié)商server使用NTLM的版本是多少塞椎,使用的加密算法等。
NTLM1.png
第二步:挑戰(zhàn)(type2) server在收到client發(fā)來的用戶名睛低,server會去自己的SAM文件中找到client 用戶名對應的NTLM Hash案狠,然后server生成一個challenge服傍,并且使用NTLM Hash去加密challenge,生成一個challenge1(Net-NTLM Hash)并存入到內存中骂铁,然后將challenge發(fā)送給client吹零。client在收到這個challenge之后,使用自己用戶名對應的NTLM Hash加密challenge生成一個Net-NTLM Hash并且將其作為response發(fā)送給server
NTLM2.png
第三步:驗證(type3) server在收到client發(fā)來的response與內存中的challenge1進行比較拉庵,如果相等則認證通過灿椅。
NTLM3.png
