NTLM o'zi nima, Kerberos bo'lsa yetarli emasmi?

Tasavvur qiling. Sizda eski Windows server bor. Kerberos'ni qo'llab-quvvatlamaydi. Yoki VPN orqali ulanayapsiz. Yoki oddiy workgroup muhitida ishlayapsiz. Kerberos bu holatlarda ishlamaydi.

Shu payt Windows shunday deydi: "Xo'p, NTLM ishlatamiz."
NTLM qanday ishlaydi?
Uchta step.🌐
Client → NEGOTIATE → Server "men ulanmoqchiman"
Client ← CHALLENGE ← Server "mana savoling, javob ber"
Client → AUTHENTICATE → Server "mana javobim"

Lekin bu yerda juda muhim bir narsa bor. Parol hech qachon tarmoqda yurмaydi.Buning o'rniga server clientga tasodifiy raqam yuboradi — ServerChallenge. Client esa o'z parolining hash'i yordamida shu raqamdan javob hisoblaydi. Server bu javobni DC'ga yuboradi. DC tekshiradi. Tasdiqlaydi. Tugadi.

Oddiy va aqlli tizim.
Lekin muammo boshlanadi…

NTLMv1 davrida client faqat server berayotgan raqamdan javob hisoblardi. O'zi hech narsa qo'shmasdi. Bu degani — agar siz serverning javobini ushlab olsangiz, uni boshqa joyda qayta ishlatishingiz mumkin edi.
NTLMv2 buni tuzatdi. Endi client ham o'z tasodifiy raqamini qo'shadi. Timestamp ham qo'shiladi. Username va domain ham hash'ga kiradi.

Lekin asosiy muammo qolmoqda.
SMB signing default holatda yoqilmagan.

Ya'n🔑i:
Domain Controllers → signing: Required ✓
Oddiy serverlar → signing: Not Required ✗
Oddiy clientlar → signing: Not Required ✗

Bu nima degani?
Agar signing yo'q bo'lsa — NTLM relay attack mumkin. Siz autentifikatsiyani ushlab, uni boshqa serverga "relay" qilasiz. Qurbon o'zini sizga authenticate qiladi. Siz esa uning nomidan boshqa serverga kirasiz.

Responder bilan ushlangan NTLMv2 hash shunday ko'rinadi:
Support2::INLANEFREIGHT:e2d2339638fc5fd6:D4979A923...
User::Domain:ServerChallenge:Response:ClientChallenge
Bu hash'ni offline ham crack qilsa bo'ladi. Online ham relay qilsa bo'ladi.