Windows安全认证机制-NTLM认证流程

NTLM定义

1、NTLM是NT LAN Manager的缩写，即问询/应答(Challenge/Response)身份验证协议，是 Windows NT早期版本的标准安全协议。
2、⽤于验证远程机器⽤户的⽹络协议，它也被称为Net-NTLM。

Net-NTLM Hash

简单来说，Net-ntlm hash就是ntlm hash再做了一层hash加密。

以下是通过smb共享连接获取的wireshark包，可以比较明确的看到ntlm认证的流程
如有写的不对的地方，请大家指正，我会立马修改！！！

1、NTLM认证流程图

2、认证步骤

1、首先在客户端中输入username，password和domain，然后客户端会把密码进行Hash后的值先缓存到本地。
2、在连接服务器的时候，客户端会默认向服务端发起一次请求type1，用来获取server向域控请求的挑战码。
3、DC会生成一个16字节的随机数，也就是挑战码（Challenge）,然后再通过server传回给Client。
4、当Client收到挑战码以后，会先复制一份，然后和缓存中的密码Hash(ntlm hash)再一同混合Hash一次，混合后的值称为response(NET-ntlm hash)ÿ