chAlx пишет: Познавательно, ещё бы автору графический формат ГИФ поизучать, чтобы такое порно не светить..
Автор не имеет склонности изучать формат каждый раз, когда надо сгенерировать картинку. Хотя как раз гиф приходилось и генерировать. А порно получилось из-за некорректно отмасштабированной картинки при публикации, в оригинале все смотрелось прилично.
Цитата
chAlx пишет:
Я видел NTLM-сессию, для которой все эти разговоры бесполезны:
Т.е. каждый запрос-ответ при NTLM-аутентификации сопровождался логином и паролем в явном (Base64) виде. Нонсенс..
Типа, доверьте M$ процесс логина, и оно залогинит вас по-любому, и хрен с ним, что пароль светится.
Это не сессия Internet Explorer (по крайней мере ни одной из последних версий). Во-первых IE по-умолчанию не использует HTTP 1.1 через прокси, во-вторых то что стоит в Proxy-Authorization: не является даже корректной строкой base64 (хотя, возможно, поправлено автором). Могу предположить, что такой суровый результат достинут IE совместно с каким-нибудь соксификатором, например.
Т.е. каждый запрос-ответ при NTLM-аутентификации сопровождался логином и паролем в явном (Base64) виде. Нонсенс..
Типа, доверьте M$ процесс логина, и оно залогинит вас по-любому, и хрен с ним, что пароль светится.
У меня есть стойкое ощущение, что никто другой такую сессию не видел, потому что такой композиции заголовка HTTP в винапишных функциях не бывает. Парируйте, Колобок (ц).
ЗЫ. Только, чур, не добавлять в конец нового code строчки вида Proxy-Authorization: NTLMv2, а то я сопьюсь с горя.
Весьма хорошая и познавательная статья. Видно, что автор хорошо разбирается в данной теме, и, что самое главное, пишет простым и доступным для понимания языком =).
По поводу "открытых паролей" - давайте не будем смешивать мух и котлеты.. HTTP/1.1 и NTML это всетаки "немного" разные вещи..
Про NTML прокси-аутентификацию в rfc2616 нету ни слова (что естессно), так что если такой запрос и был, то это уже выдумано из головы IE (или чем там такие запросы делались?)... Там вообще в хидере можно писать хоть матные слова - лишь бы прокся это варила.. %)
Где ‘.’ Означает конкатенацию, ipad = 0x36363636363636363636363636363636, ipad = 0x5C5C5C5C5C5C5C5C5C5C5C5C5C5C5C5C
Видимо тут где-то должно быть opad
Цитата
NTLM релеинга
Плохо звучит. Кроме того man ( in-the-middle ) в этом случае получает все данные проходящие между клиентом и сервером независимо от того, есть авторизация или нет и каким образом она осуществляется. Т.е. NTLM тут никаким боком.
Соответственно весь остаток статьи отношения собственно к NTLM не имеет, а описывает возможные методы борьбы с атаками типа man-in-the-middle
Алгоритмы и уязвимости LN и NT, а также методы получения хешей и восстановления хорошо известны и описаны. Кроме того как указывает автор статьи существует большое количество практических реализаций.
Отсюда 1) В статье мало новизны и анализа 2) Тема "NTLM и корпоративные сети" не раскрыта т.к. первая часть статьи - описание NTLM и узявимостей алгоритмов вторая - настройка файровола для противодействия man-in-the-middle Т.е. "корпоративной сети" в статье не видно.
Плохо звучит. Кроме того man ( in-the-middle ) в этом случае получает все данные проходящие между клиентом и сервером независимо от того, есть авторизация или нет и каким образом она осуществляется. Т.е. NTLM тут никаким боком.
А теперь вперед - реализовывать такую атаку с керберос аутентификацией. Внимательно перечитав сценарий (для проведения плохо звучащего NTLM релеинга не надо быть man-in-the-middle).
less пишет: вторая - настройка файровола для противодействия man-in-the-middle Т.е. "корпоративной сети" в статье не видно.
Вторая часть - рассказывает как настроить _клиентские_ компьютеры для получения звездообразной структуры корпоративной сети. Это для тех, кто читал по диагонали. Т.к. атаки NTLM-релеинга это атаки против клиента (а не M-i-t-M) в корпоративной сети.
В связи со странными репликами насчёт примера HTTP-сессии, отвечу.
Да, сессия пределана: убраны лишние строчки (Accept-encoding etc).
То, что "не является корректной строкой base64" -- это просто пример; настоящий пароль там был (вместе с логином и доменом), но публиковать его не вижу смысла.
Тот факт, что "IE по-умолчанию не использует HTTP 1.1 через прокси", не означает, что эту функцию нельзя включить.
Если остались вопросы -- вот форум, где это обсуждалось.
Тот факт, что "IE по-умолчанию не использует HTTP 1.1 через прокси", не означает, что эту функцию нельзя включить.
Во-первых там не Internet Explorer, а Avent Browser. И проксимитрон. И в опциях проксимитрона в advanced settings proxy стоит галка "отправить прокси-серверу логин и пароль". Т.е. NTLM авторизация делает IE а плейнтекстовую - проксимитроном. Что, в общем-то, и предпологалось в случае соксификатора...
chAlx пишет: offtopic А кстати, раз ты эксперт, можешь подсказать, в чём бывает проблема с NTLM (кроме неверного пароля)? Здесь или прямо там.. [IMG]http://www.securitylab.ru/forum/smileys/smiley9.gif[/IMG]
Поставь Ethereal - он прекрасно парсит NTLMовские блобы, увидишь кто что шлет и кто чего отвечает.
Кстати, собираюсь написать статейку как fingerprint'ить клиентскиую программу, включая различные прокси-сервера, в т.ч и "прозрачные", типа проксимитрона по поведению. Кому-нибудь будет интересно?