NTLMRecon
NTLMRecon是一款针对Web应用NTLM认证信息的枚举工具,如果目标Web节点启用了NTLM认证功能,那么广大研究人员就可以使用NTLMRecon来枚举目标相关信息。
NTLMRecon是一款运行速度快且扩展灵活的NTLM侦察工具,该工具无需外部依赖即可实现其功能。在处理大量潜在IP地址和域名时,NTLMRecon将能够帮助我们快速收集关于目标NTLM节点的相关信息。
注意:该项目的内部字典取自nyxgeek/lyncsmash库。
工具概览
NTLMRecon可以搜索到启用了NTLM的Web节点,然后向其发送伪造的认证请求,并能够尝试从NTLMSSP响应中枚举出下列信息:
1、活动目录域名
2、服务器名
3、DNS域名
4、FQDN
5、父DNS域
由于NTLMRecon利用了一个Python脚本来实现NTLMSSP,这样可以在每次扫描成功之后消除Nmap NSE http-ntlm-info的运行开销。
工具安装
Arch
如果你运行的是Arch linux,或其他基于Arch linux发行版的系统,你可以点击【这里】从AUR获取最新版本的构建文件。
通用安装
首先,使用下列命令将项目源码克隆至本地:
git clone https://github.com/sachinkamath/ntlmrecon/建议大家在虚拟环境中使用该文件,安装Virtualenv的命令如下:
pip install virtualenv接下来,使用下列命令创建一个新的虚拟环境,并激活该环境:
virtualenv venv
source venv/bin/activate
运行安装文件:
python setup.py install安装完成之后,你就可以使用下列命令来运行NTLMRecon并查看帮助信息了:
ntlmrecon --help工具使用
_ _ _____ _ ___ _________
| / | |_ _| | | // || ___ /
| /| | | | | | | . . || |_/ /___ ___ ___ _ __
| . ` | | | | | | |//| || // _ // __/ _ /| '_ /
| |/ | | | | |____| | | || |/ / __/ (_| (_) | | | |
/_| /_/ /_/ /_____//_| |_//_| /_/___|/___/___/|_| |_|
v.0.1 beta - Y'all still exposing NTLM endpoints?
usage: ntlmrecon [-h] [--input INPUT | --infile INFILE] [--wordlist WORDLIST] [--threads THREADS] [--output-type] –outfile OUTFILE [--random-user-agent] [--force-all] [--shuffle]
optional arguments:
-h, –help 显示帮助信息或退出
–input INPUT 以IP地址、URL或CIDR作为输入来枚举NTLM节点
–infile INFILE 传递本地输入文件
–wordlist WORDLIST 使用自定义字典覆盖内部字典
–threads THREADS 设置线程数量 (默认为10)
–output-type, -o 设置输出文件类型,支持JSON和CSV (默认为CSV)
–outfile OUTFILE 设置输出文件名称 (默认为ntlmrecon.csv)
–random-user-agent 使用随机用户代理来发送请求 (默认为 False) (未完成)
–force-all 强制枚举所有节点 (默认为False)
–shuffle 打乱输入文件中的数据顺序
工具使用样例
针对单个URL地址进行侦察
$ ntlmrecon --input https://mail.contoso.com --outfile ntlmrecon.csv针对一个CIDR范围或IP地址进行侦察
$ ntlmrecon --input 192.168.1.1/24 --outfile ntlmrecon-ranges.csv将目标侦察信息以输入文件的形式提供
NTLMRecon能够自动检测输入文件中每一行数据的类型,并自动将检测结果返回给用户。即使数据是从文本文件中读取出来的,该工具同样也能够自动识别并解析CIDR范围。
输入文件的内容样例如下:
mail.contoso.com
CONTOSOHOSTNAME
10.0.13.2/28
192.168.222.1/24
如果你想将目标侦察信息以输入文件的形式提供给NTLMRecon,可以直接运行下列命令:
$ ntlmrecon --infile /path/to/input/file --outfile ntlmrecon-fromfile.csv项目地址
NTLMRecon:【GitHub传送门】
陕西省渭南市富平县 1F
看着就头大,又要装virtualenv
江苏省苏州市 2F
这个工具安装起来复杂吗?
广东省广州市 3F
之前用nmap跑半天,这个几秒完事
江苏省苏州市 4F
之前搞过类似工具,配置环境最麻烦
日本 B1
@ 舞步闪电 配置环境确实烦,上次搞了俩小时才跑起来
北京市 B1
@ 舞步闪电 配环境确实烦,搞过一次再也不想碰
江苏省苏州市 5F
有人试过在Windows上跑吗?
天津市 B1
@ 奶味小星 Windows上跑Python工具多少有点折腾,建议WSL
江苏省连云港市 B1
@ 奶味小星 Windows上跑直接报编码错,别试了,linux香
江西省宜春市 6F
这玩意儿能检测到内网里的NTLM服务不?
越南 B1
@ 湖光山色 内网得看能不能路由通吧,不是工具能决定的
北京市 B1
@ 湖光山色 内网能扫到,但得看防火墙放不放行NTLM响应
广东省广州市 7F
工具界面挺酷的哈哈哈
安徽省 B1
@ 雾影织梦 界面就是个ASCII art,酷个锤子😂
湖南省长沙市 8F
所以这比nmap的脚本快多少?
湖北省武汉市 9F
感觉用起来还行,就是命令参数有点多
湖北省武汉市 10F
为啥要用虚拟环境啊,直接装不行吗?
山东省烟台市 11F
这个字典文件能自己改吗?
澳大利亚 12F
这玩意儿比nmap快一倍不止,亲测扫/24快多了
山西省晋中市 B1
@ Devil小恶魔 扫/24真就几秒?我上次跑nmap要半分钟
日本 13F
字典路径在源码里写死了?想改得重打包?
广东省 B1
@ 远方不远 不用重打包,–wordlist参数就能换字典
上海市 14F
虚拟环境都不用还搞安全工具,怕污染系统啊
山西省太原市 B1
@ 模块先知 不用虚拟环境?pip装完系统python直接废一半
澳大利亚 15F
参数多但文档挺全,照着样例抄就行
甘肃省兰州市 B1
@ 漆匠曹 照着样例抄是快,但一改参数就懵
福建省泉州市 16F
看着像玩具,真打内网还是得配合其他工具
山西省运城市 17F
之前踩过坑,NTLM响应被防火墙拦了根本拿不到信息
日本 18F
那个random-user-agent标着未完成还列出来干嘛?
中国 19F
这工具比nmap快是真的,/24段几秒出结果
江苏省南京市 B1
@ 草莓冰咖啡 我试过,/24 真能在几秒搞定,省得等半天。
浙江省温州市 20F
字典能自己换,–wordlist指定就行,不用重打包
广东省广州市 B1
@ 听松客 字典自己换很方便的
山东省莱芜市 21F
Windows上跑?我试了报编码错,linux稳得多
日本 22F
看着命令多,其实常用就俩参数,别被吓到
黑龙江省黑河市 23F
虚拟环境必须用啊,不然pip装一堆依赖乱成粥
日本 24F
random-user-agent标未完成还放help里,纯属迷惑行为
陕西省西安市 25F
内网侦察还得配合Responder,单靠它信息有限
韩国 26F
这个工具扫内网的效果到底怎么样?
马来西亚 B1
@ 寂静夜风 我在公司内部网测过,/24范围几秒返回,能抓到域名和服务器名,挺靠谱
韩国 B1
@ 寂静夜风 这工具扫内网快得离谱,/24秒出结果
韩国 27F
Arch安装居然有现成包,方便啊
福建省三明市 28F
现在NTLM端点还这么多吗
中国 B1
@ 混沌建筑师 现在还有这么多NTLM端点?企业内网真不更新啊
湖北省黄石市 29F
所以这玩意儿能绕过什么防御手段不?
新加坡 30F
界面那个ASCII艺术字有点意思
印度 B1
@ 爱跳舞的饺子 真的,ASCII 那行字挺带感的,给文档加点酷炫。
日本 31F
能扫到FQDN挺有用的,之前手动查过
韩国 32F
虚拟机里跑了下,确实比nmap那个脚本快
河北省邯郸市 33F
要是能集成进自动化流程就好了
印度尼西亚 B1
@ 沉睡的鲸歌 有人试过和Responder配合用吗?
云南省昆明市 B1
@ 沉睡的鲸歌 集成进自动化得自己写wrapper吧,参数挺规整的
湖北省襄阳市 34F
虽然用不上,但收藏备着
贵州省黔东南州凯里市 B1
@ 吃瓜小能手 收藏了以后真的派上用场了,上次临时需要枚举,直接打开就能跑
江苏省常州市 35F
看起来挺能打,就是不知道稳定性如何
广西 B1
@ 派对核心发电机 我用过几次,崩溃的情况倒是没见过,倒是偶尔卡住需要重启
河南省驻马店市 36F
这工具扫内网快吗?
湖南省娄底市 37F
安装起来真麻烦,又是virtualenv
上海市 38F
界面那个ASCII艺术字挺酷的😂
日本 39F
之前用过类似的,配置环境最头大
印度尼西亚 40F
能检测到FQDN这点确实实用
广东省东莞市 41F
为啥非要用虚拟环境啊?
北京市 B1
@ 万里长城 虚拟环境能把依赖隔离,防止系统装乱,省得后面纠错。
澳大利亚 42F
Windows上跑不起来,一直报错
山西省太原市 43F
看着参数好多,头晕
日本 44F
Windows上跑编码报错有人解决了吗?😭
广东省广州市 45F
这工具能识别HTTPS的NTLM端点不?
山东省济南市 46F
之前用Responder抓不到响应,试试这个看看
新加坡 47F
看着命令多,其实–input加个URL就行,别慌
印度尼西亚 48F
这logo还挺有内味的
韩国 B1
@ 空林客 这复古感拉满了
日本 49F
random-user-agent标未完成还放help里,纯属添乱
北京市 50F
Arch有AUR包确实省事,不用折腾virtualenv了
上海市浦东新区 51F
内网扫出来FQDN对横向帮助大吗?🤔
山东省滨州市 52F
看着就头大,又要配虚拟环境😭
湖南省邵阳市 53F
这工具扫/24真几秒出结果,比nmap快多了
天津市 54F
之前搞过类似工具,光配环境折腾一天
陕西省西安市 55F
Arch有AUR包确实省事,不用碰virtualenv了
北京市 B1
@ FluffyNugget Arch有包真省心,不用折腾pip了
印度尼西亚 56F
内网拿到FQDN对横向帮助大吗?🤔
菲律宾 57F
界面那个ASCII艺术字有点意思😂
黑龙江省哈尔滨市 58F
Windows上编码问题谁遇到过?崩溃了😭
韩国 59F
FQDN都能扫到,横向移动方便多了
广东省深圳市 60F
–force-all是干啥的?不加会漏吗?
日本 61F
字典能换挺好的,但路径能不能别写死
广东省广州市 62F
虚拟环境装一堆依赖太恶心了
上海市 63F
这玩意儿比nmap快好多倍吧?
吉林省通化市 64F
界面ASCII图看着有点中二😂
重庆市 65F
HTTPS的NTLM也能抓?试了没反应
辽宁省盘锦市 66F
能自动识别CIDR范围还挺方便的