Responder, NTLM e Evil-WinRM | Windows | SolydOne
- Responder, NTLM e Evil-WinRM | Windows | SolydOne
NTLM — Fundamentos de Autenticação Windows
NTLM (New Technology LAN Manager) é um protocolo de autenticação da Microsoft baseado em challenge-response. Ele é utilizado quando Kerberos não está disponível ou não pode ser negociado.
É comum em:
- SMB (porta 445)
- WinRM (porta 5985 / 5986)
- HTTP com autenticação Windows
- LDAP
Fluxo de Autenticação NTLM
- Cliente envia usuário e domínio.
- Servidor gera um challenge aleatório.
- Cliente cifra o challenge usando o NTHash da senha.
- Servidor valida o resultado.
A senha nunca é transmitida em texto claro.