内网获取用户哈希，通过 Sharp4GetNTLM 实现 NTLM 降级攻击

在 Windows 安全领域，NTLM认证机制长期以来一直是 Windows 系统中用于身份验证的一个重要协议。尽管 Kerberos 已逐渐成为更安全的替代方案，NTLM 在一些场合仍然被使用。然而，NTLM 协议本身存在多个安全漏洞，特别是在无法使用 Kerberos 的情况下，攻击者可以利用这些漏洞进行各种攻击。

Sharp4GetNTLM.exe 通过对 NTLM 协议进行降级，迫使目标机器的身份验证从 NTLMv2 降级为 NTLMv1。在降级过程中，攻击者能够截获包含用户密码哈希值的 NTLM 认证数据。这种攻击方式的核心是利用 NTLM 协议的漏洞，通过强制版本降级来绕过正常的身份验证流程，从而获得用户的哈希凭据。

如果攻击者无法使用常规的恶意工具，例如 Mimikatz 进行提取，因为这些工具可能会被安全软件检测到并阻止，那么 Sharp4GetNTLM 提供了一个绕过这些防护的解决方案。通过降级 NTLM 版本，攻击者可以成功提取到 NetNTLMv1 哈希，进而进行离线破解。

Sharp4GetNTLM 的基本用法非常简单，默认情况下，该工具会以不带任何参数的方式运行。也可以通过传递特定的命令行参数来运行。基本使用格式如下所示：

Sharp4GetNTLM.exe

默认运行时，工具会根据目标环境自动执行 NTLM 降级攻击。除此之外，工具也支持使用其他的参数运行，如下所示命令。

Sharp4GetNTLM.exe -Downgrade True -Restore False -Impersonate True -Verbose False

Downgrade 参数用于指定是否进行 NTLM 协议的降级。要执行降级攻击，-Downgrade 必须设置为 True。Impersonate：指定是否进行用户模拟，允许攻击者尝试模拟其他可用的用户身份。默认值是 True。在命令执行成功后，攻击者能够成功提取到目标用户的 NTLMv1 哈希值，如下图所示。

综上所述，Sharp4GetNTLM.exe 是一个强大的 NTLM 降级攻击工具，能够有效地提取目标用户的 NTLM 哈希。在无法使用如 Mimikatz 的情况下，攻击者仍然可以通过该工具成功执行 NTLM 降级攻击。文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。

从漏洞分析到安全攻防，我们涵盖了 .NET 安全各个关键方面，为您呈现最新、最全面的 .NET 安全知识，下面是公众号发布的精华文章集合，推荐大伙阅读！