NTLMv1 o NTLMv2 es un protocolo de autenticación de Windows Challenge-Response que se usa para autenticar usuarios en inicios de sesión interactivos y no interactivos. Los inicios de sesión interactivos y los inicios de sesión no interactivos se explican aquí
enlace y
enlace
Los protocolos de autenticación NTLMv1 y NTLMv2 tienen vulnerabilidades como pasar el hash, la reflexión y los ataques de relevo, pero son inmunes a los ataques de Rainbow Tables.
NT Hash se conoce como función unidireccional de NT (NTOWF) en la documentación de MSDN en NTLMv1 y NTLMv2 y utiliza el algoritmo de hash MD4 o MD5 para obtener el hash de la contraseña del usuario. NTOWF utiliza algoritmos de hash MD4 o MD5 para calcular el hash a partir de la contraseña de un usuario. Los elementos hash de NT de todos los usuarios en un dominio de Windows se almacenan en el archivo ntds.dit en los controladores de dominio. Si bien el Hash de NT de la contraseña del usuario también puede recuperarse de las secciones de Security Account Manager (SAM) y SECURITY Registry de los sistemas Windows, se inicia sesión de forma interactiva.
NTLM a menudo se usa indistintamente para referirse al NTLM Challenge-Response Protocol y al NTOWF, que es la causa principal de esta confusión.
La falta de uso de la sal en el almacenamiento de la contraseña NTOWF de los usuarios en sistemas Windows o controladores de dominio lo hace vulnerable a los ataques de Rainbow Tables.
Aquí es cómo se ve la cadena "hashcat" como NTOWF y cuando se usa en NTLMv1 y NTLMv2. He tomado esto prestado de la página web de hashes de hashcat.
NTOWF
b4b9b02e6f09a9bd760f388b67351e2b = > Esto permanece estático y se almacenará en un formato idéntico en el controlador de dominio o SAM hasta que se cambie la contraseña.
NTLMv2 admin :: N46iSNekpT: 08ca45b7d. Esta respuesta de autenticación cambiará incluso si la contraseña es "hashcat", ya que el desafío utilizado para calcular esta respuesta cambia cada vez que se negocia el protocolo de desafío-respuesta.
NTLMv1 u4-netntlm :: kNS: 338d08f8e26de93300000000000000000000000000000000: 9526fb8c23a90751cd619beccccccc5 Esta respuesta de autenticación cambiará incluso si la contraseña es "hashcat", ya que los desafíos utilizados para calcular esta respuesta cambian cada vez que se negocia el protocolo de desafío-respuesta.
Wikipedia tiene una buena reseña sobre cómo NTLMv1 y NTLMv2 autentican a los usuarios mediante el uso de sus contraseñas (también conocido como NTOWF) en "NT Lan Manager".
En caso de que tenga curiosidad sobre por qué NTLMv1 y NTLMv2, el anterior autentica al cliente en el servidor y no viceversa, mientras que el último autentica al cliente y al servidor entre sí.