使用wireshark抓取NTLM,学习它的整个流程
这个我是在192.168.136.128上弄个一个共享文件夹,然后使用192.168.136.129去访问SMB认证,就会有NTLM产生(非域环境)
NTLM 第一步:协商(type 1),client协商server使用NTLM的版本是多少,使用的加密算法等。
NTLM1.png
第二步:挑战(type2) server在收到client发来的用户名,server会去自己的SAM文件中找到client 用户名对应的NTLM Hash,然后server生成一个challenge,并且使用NTLM Hash去加密challenge,生成一个challenge1(Net-NTLM Hash)并存入到内存中,然后将challenge发送给client。client在收到这个challenge之后,使用自己用户名对应的NTLM Hash加密challenge生成一个Net-NTLM Hash并且将其作为response发送给server
NTLM2.png
第三步:验证(type3) server在收到client发来的response与内存中的challenge1进行比较,如果相等则认证通过。
NTLM3.png
网友评论