NTLMv1 o NTLMv2 è un protocollo di autenticazione Challenge-Response di Windows utilizzato per l'autenticazione degli utenti in accessi interattivi e non interattivi. Gli accessi interattivi e gli accessi non interattivi sono spiegati qui
link e
link
I protocolli di autenticazione NTLMv1 e NTLMv2 hanno vulnerabilità come attacchi pass-the-hash, reflection e relay ma sono immuni dagli attacchi di Rainbow Tables.
NT Hash è indicato come NT NT-NVFM (NTOWF) nella documentazione MSDN su NTLMv1 e NTLMv2 e utilizza l'algoritmo di hashing MD4 o MD5 per ottenere l'hash dalla password di un utente. NTOWF utilizza algoritmi di hashing MD4 o MD5 per calcolare l'hash dalla password di un utente. Gli hash NT di tutti gli utenti in un dominio Windows sono memorizzati nel file ntds.dit sui controller di dominio. Mentre l'hash NT della password dell'utente può anche essere richiamato dal Security Account Manager (SAM) e dagli hive del Registro di sistema SECURITY dei sistemi Windows, essi collegano in modo interattivo.
NTLM è spesso usato in modo intercambiabile per fare riferimento al protocollo Challenge-Response NTLM e al NTOWF, che è la causa principale di questa confusione.
La mancanza di salting nella memorizzazione della password degli utenti NTOWF su sistemi Windows o Domain Controller rende vulnerabile agli attacchi di Rainbow Tables.
Ecco come appare la stringa 'hashcat' come NTOWF e quando usata in NTLMv1 e NTLMv2. L'ho preso in prestito dalla pagina web di hash di hashcat di esempio.
NTOWF
b4b9b02e6f09a9bd760f388b67351e2b = > Rimane statico e verrà memorizzato nello stesso formato nel SAM o nel controller di dominio fino a quando la password non verrà modificata.
admin NTLMv2 :: N46iSNekpT: 08ca45b7d7ea58ee: 88dcbe4446168966a153a0064958dac6: 5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030 = > Questa risposta di autenticazione cambierà anche se la password è "hashcat" poiché la sfida utilizzata per calcolare questa risposta cambia ogni volta che viene negoziato il protocollo Challenge-Response.
NTLMv1 u4-netntlm :: kNS: 338d08f8e26de93300000000000000000000000000000000: 9526fb8c23a90751cdd619b6cea564742e1e4bf33006ba41: cb8086049ec4736c = > Questa risposta di autenticazione cambierà anche se la password è "hashcat" poiché le sfide utilizzate per calcolare questa risposta cambiano ogni volta che viene negoziato il protocollo Challenge-Response.
Wikipedia ha una buona opinione su come NTLMv1 e NTLMv2 autenticano gli utenti usando le loro password (dette anche NTOWF) in "NT Lan Manager".
Se sei curioso di sapere perché NTLMv1 e NTLMv2, il precedente autentica il client sul server e non viceversa mentre il successivo autentica sia il client che il server tra loro.