在不触及 LSASS 的情况下检索 NTLM 哈希值

Elad Shamir 对怎样在不对 lsass.exe 进程进行操作的情况下抓取 NTLM 哈希进行了广泛的研究。在这种攻击之前,通过 Mimikatz 操作 LSASS 抓取哈希值的操作受到 Windows 10企业版和 Windows Server 2016中的凭证保护的限制。Elad 开发了一种称为 Internal Monologue Attack 的攻击,它执行以下操作:

  • 如上所述,通过将 LMCompatibilityLevelNTLMMinClientSecRestrictSendingNTLMTraffic 更改为适当的值来禁用 NetNTLMv1 的预防性控制。
  • 从当前正在运行的进程中检索所有非网络登录令牌并模拟关联的用户。
  • 对于每个模拟用户,获得正在运行的用户 token,模拟用户同 NTLM SSP 进行交互,控制 Challenge 为固定值,导出返回的 Net-NTLMv1 响应。
  • 恢复 LMCompatibilityLevelNTLMMinClientSecRestrictSendingNTLMTraffic 的原始值。
  • [https://github.com/eladshamir/Internal-Monologue]

在不触及 LSASS 的情况下检索 NTLM 哈希值 - 图1

译者注 参考资料:Windows 下的密码 hash——Net-NTLMv1 介绍