实验环境
抓包实验
使用Windows10 ---->> Windows7发起net use的NTLM协议认证。
使用net use \\ip /u:用户名 密码来进行NTLM协议认证,并使用WireShark来进行抓包分析过程。
1、前四个请求为协商协议请求
对应NTLM协议认证中的第一步:首先,Client会像Server发起请求连接协商一些相关东西
2、第五个请求包是用户启动身份验证的包,和一些规则,主要是flag里面有相关的规则。
3、第6个数据包时,一些包含同意的列表和最重要的Challenge
可以看到Challenge为16位,说明这个NTLM协议采用的时NTLM v2协议,如果时NTLM v1则是8位的。
4、第7个数据包时发送的Response的数据包,还包括账户名的相关信息。
5、第8个数据包就是返回结果,用来表示成功还是失败。
成功:
失败:
