NTLM 中继攻击的复兴：你需要知道的一切

NTLM 中继攻击仍然是一个严重的威胁，允许攻击者破坏加入域的主机并进行横向移动。尽管这是一个老式的攻击，但 NTLM 中继攻击往往被低估和误解。NTLM 是微软在 1993 年引入的遗留身份验证协议，尽管 Kerberos 是首选协议，但 NTLM 仍被广泛使用。NTLM 通过挑战-响应交换防止重放攻击，但它容易受到中继攻击。NTLM 身份验证交换涉及客户端和服务器之间的三次消息交换。有两种主要的 NTLM 响应生成算法版本：NTLMv1 和 NTLMv2。NTLMv1 是一个过时的算法，使用 DES 加密，并且容易受到攻击，而 NTLMv2 使用 HMAC-MD5 仍在使用。LM 兼容性级别注册表值控制 Windows 主机上的 NTLM 版本支持，较低的级别可以启用 NTLMv1，这可能会造成严重后果。密码破解是一个问题，攻击者可以破解捕获的 NTLM 交换以恢复密码或使用 NT 散列进行传递哈希攻击。中继攻击是破坏加入域的主机的最简单方法，允许攻击者以受害者的身份向目标进行身份验证，而无需破解密码。