NTLM哈希深度解析：从原理到安全实践

作为一名白帽子黑客，深入理解NTLM哈希机制对保障企业网络安全至关重要。

1. NTLM哈希概述

NTLM（New Technology LAN Manager）是微软推出的一套身份验证协议套件，用于在Windows网络中验证用户身份并保护通信安全。它通过客户端-服务器之间的“挑战/响应”机制工作，避免了明文密码在网络中的传输。

在Windows系统中，用户的明文密码不会直接存储，而是会保存其密码哈希值。本地用户的密码哈希存储在SAM（Security Account Manager）数据库中，而域内用户的密码哈希则保存在域控的NTDS.dit文件中。

2. LM Hash与NTLM Hash

2.1 LM Hash（LAN Manager Hash）

LM Hash是Windows早期采用的加密算法，由IBM设计，存在明显安全缺陷。

LM Hash计算过程：

1. 将用户密码转换为大写，并转换为16进制字符串
2. 不足14字节时使用0在后方补全
3. 将16进制字符串分成两个7byte部分
4. 每部分转换为56bit的比特流（不足左边补0）
5. 每7bit为一组，每组末尾加0，重新组合
6. 分别用固定字符串"KGS!@#$%"作为Key进行DES加密
7. 将加密后的两组结果拼接，得到最终的LM Hash值

LM Hash的安全缺陷：

• 密码长度限制为14字符，强度不足7字符时，第二个分组加密结果固定为aad3b435b51404ee
• 不区分大小写，降低了密码空间
• 使用硬编码密钥和弱加密算法（DES）
• 可逆性较高，易于破解

2.2 NTLM Hash

为解决LM Hash的安全问题，微软在Windows NT 3.1中引入了NTLM协议。

NTLM Hash计算过程：

1. 将用户明文密码转换为十六进制格式
2. 对十六进制格式的密码进行Unicode编码（在每个字节后添加0x00）
3. 使用MD4摘要算法对Unicode编码数据进行Hash计算

NTLM Hash生成示例：

明文密码：12345
转换成16进制：313233343536
转换成unicode：310032003300340035003600
md4加密: 32ed87bdb5fdc5e9cba88547376818d4

NTLM Hash基于MD4算法，不可逆，相比LM Hash安全性显著提高。从Windows Vista和Server 2003开始，微软已默认禁用LM Hash。

3. NTLM认证流程

NTLM认证采用质询/响应（Challenge/Response） 机制，分为本地认证和网络认证两种场景。

3.1 本地认证

用户登录系统时：

1. Windows调用winlogon.exe接收输入密码
2. 密码交给lsass.exe进程，该进程在内存中存储一份明文密码
3. 将明文密码加密为NTLM Hash
4. 与SAM文件中的NTLM Hash比对
5. 匹配则通过认证

3.2 网络认证

网络认证涉及三个消息交换：Type1（协商）、Type2（质询）和Type3（身份验证）。

1. Type1（协商）：客户端向服务器发送Type1消息，包含认证主体、用户、机器及所需安全服务等信息。
2. Type2（质询）：服务器生成16位随机Challenge，本地存储后发送给客户端。
3. Type3（响应）：客户端使用用户NTLM Hash加密Challenge，得到Net-NTLM Hash，封装到Type3消息发送给服务器。
4. 验证：服务器使用存储的NTLM Hash同样加密Challenge，比较自己计算的结果与客户端发送的是否匹配。

此过程中，Net-NTLM Hash不同于NTLM Hash，它是由原始NTLM Hash与服务器Challenge计算得到的，不能直接用于哈希传递攻击（PTH），但可通过暴力破解获取明文密码。

4. NTLM哈希的安全威胁

NTLM协议存在多种安全威胁，白帽子黑客需要了解这些攻击手法以更好地防御它们。

4.1 哈希传递攻击（Pass-the-Hash, PTH）

PTH攻击利用NTLM认证的缺陷，使攻击者能够使用用户的密码哈希值进行NTLM认证，而无需明文密码。

利用条件：

• 获取了目标用户的NTLM Hash
• 目标主机开放SMB等服务
• 目标系统上存在相同的用户账户（在域环境中，域用户哈希相同，成功率更高）

利用工具：

• Mimikatz：最常用的PTH工具

  privilege::debug
  sekurlsa::pth /user:administrator /domain:tisheng.test /ntlm:3ec403e7aee6461f12e8f7b644410605
  

• 成功后会弹出新窗口，可访问远程主机资源

4.2 Net-NTLM Relay攻击

Net-NTLM Relay是一种中间人攻击，将捕获的Net-NTLM Hash重放到其他服务，模拟合法用户执行恶意操作。

攻击原理：

1. 攻击者截取Net-NTLM Hash（Response消息）
2. 将Hash重放到其他使用NTLM认证的应用（如SMB、HTTP、LDAP）
3. 绕过认证签名校验，利用未启用签名的协议

Relay攻击类型：

• Relay2SMB：重放到SMB服务器，直接控制目标服务器
• Relay2HTTP：重放到Exchange服务器，收发邮件等
• Relay2LDAP：在域环境中最有效，可提升权限、设置委派等

利用工具：

• impacket-smbrelayx.py：

  python3 smbrelayx.py -h 10.10.1.230 -c whoami
  

• impacket-ntlmrelayx.py：

  python3 ntlmrelayx.py -t smb://10.10.1.230 -c whoami -smb2support
  

4.3 NTLM哈希窃取技术

攻击者通过多种手段诱使系统泄露NTLM哈希值：

1. LLMNR/NBNS毒化：利用名称解析协议，当DNS解析失败时，Windows会使用LLMNR/NBNS协议，攻击者可响应这些请求并要求认证。
2. 恶意文件诱骗：
   • desktop.ini：修改文件夹图标属性指向恶意UNC路径
   • scf文件：利用IconFile属性支持UNC路径的特性
   • 恶意快捷方式：创建指向远程SMB服务器的快捷方式
3. 浏览器触发：页面中包含UNC路径时，浏览器会尝试请求并触发NTLM认证
4. COM对象滥用：通过VBScript/PowerShell实例化Shell.Application、MSXML2.XMLHTTP等COM对象，向攻击者控制的UNC路径发起请求

近期漏洞利用：

• CVE-2025-24054：攻击者通过钓鱼邮件发送包含恶意.library-ms文件的ZIP压缩包，用户解压后Windows Explorer会自动与恶意文件交互，触发漏洞连接攻击者控制的SMB服务器并泄露NTLM哈希。尽管微软已发布补丁，但研究人员发现修复并不完整，仍存在绕过风险。

5. 防御措施与最佳实践

作为白帽子黑客，了解攻击手段后更需要掌握如何有效防御。

5.1 基础防护措施

1. 及时安装安全更新：立即安装2025年3月的Windows安全更新，修复CVE-2025-24054等漏洞。
2. 禁用不必要的NTLM认证：在网络环境中优先使用更安全的Kerberos认证。
3. 启用SMB签名：要求所有SMB通信必须签名，防止Relay攻击。
4. 强化密码策略：使用复杂且长度超过14字符的密码，避免LM Hash生成。

5.2 高级防护策略

1. 审计自启动路径：定期检查Startup文件夹及Run注册表，防止恶意脚本自启动。
2. 限制COM组件滥用：通过组策略白名单管理Shell.Application、MSXML2.XMLHTTP等危险COM对象。
3. 控制UNC访问：隔离或认证外部网络共享访问。
4. 部署多因素认证：增加认证层次，即使哈希泄露也能提供保护。
5. 启用LAPS（本地管理员密码解决方案）：确保每台机器的本地管理员密码不同，有效防御PTH横向移动。
6. 网络流量监控：部署IDS/IPS规则（如Snort 64742/64743）拦截异常NTLM认证流量。

5.3 深度防御实践

1. 限制域管理员权限：避免域管理员账户登录普通主机，减少凭证泄露风险。
2. 实施网络分段：将网络划分为多个安全区域，限制横向移动范围。
3. 定期进行安全评估：使用Mimikatz、Responder等工具模拟攻击，发现环境中的脆弱点。
4. 监控异常身份验证尝试：实施高级安全监控，及时发现和响应可疑活动。

6. 结语

NTLM协议由于其设计缺陷和历史遗留问题，仍然是Windows环境中重要的安全攻击面。作为一名白帽子黑客，深入理解NTLM哈希的工作原理和相关攻击技术，有助于更好地评估和防御企业网络的安全风险。

尽管微软正在逐步推广更安全的Kerberos认证协议，但在混合环境或工作组模式下，NTLM仍将继续存在相当长的时间。防御纵深策略和持续安全测试是应对这些威胁的关键，即使是对已宣称修复的漏洞也应保持警惕。

希望通过这篇技术文章，您能更全面地理解NTLM哈希的安全机制和威胁，为构建更安全的网络环境贡献力量。

---

本文仅用于安全研究和教育目的，请合法合规地使用这些技术知识。未经授权的网络攻击、数据窃取等行为均属违法，需承担法律责任。