(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211261390.9 (22)申请日 2022.10.14 (71)申请人 北京中安网星科技有限责任公司 地址 100016 北京市朝阳区酒仙桥路甲16 号星泰中心12层120 6室 (72)发明人 何云轩　李帅臻　杨常城　李佳峰　 (74)专利代理 机构 北京市鼎立 东审知识产权代 理有限公司 1 1751 专利代理师 陈佳妹　刘爽 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 基于NTLM认证的主机信息识别获取方法 (57)摘要 本申请涉及一种基于NTLM认证的主机信息 识别获取方法， 通过客户端向所述服务器发起 NTLM质询请求； 所述服务器接收所述NT LM质询请 求， 并向所述客户端返回NTLM质询响应； 所述客 户端接收并解析所述NT LM质询响应， 获取所述服 务器的主机信息。 利用NTLM认 证协议认证第二阶 段数据包会携带主机名信息的特性， 实现内网主 机名信息收集功能。 通过主机端口提供的不同服 务， 由客户端向服务发送NTLM认证请求数据报 文， 客户端读取NTLM质询响应报文， 解析得到目 标机器名信息。 可 以批量、 高效的实现主机信息 收集； 通过网络层进行信息收集， 无需登陆该主 机； 无需采用HIDS等高成本的设备， 仅用一个软 件即可实现主机信息收集。 权利要求书2页 说明书7页 附图3页 CN 115549927 A 2022.12.30 CN 115549927 A 1.一种基于NTLM认证的主机信息识别获取 方法， 其特 征在于， 包括如下步骤： 在客户端和服 务器之间建立连接； 通过所述客户端向所述 服务器发起 NTLM质询请求； 所述服务器接收所述 NTLM质询请求， 并向所述 客户端返回NTLM质询响应； 所述客户端接收并解析 所述NTLM质询响应， 获取 所述服务器的主机信息 。 2.根据权利要求1所述的基于NTLM认证的主机信息识别获取方法， 其特征在于， 所述在 客户端和服 务器之间建立连接， 包括： 确定目标端口； 通过所述客户端向所述目标端口所在的目标服 务器发起tcp连接请求； 所述目标服 务器接收所述tcp连接请求并进行确认， 与所述 客户端建立tcp通信 信道。 3.根据权利要求1所述的基于NTLM认证的主机信息识别获取方法， 其特征在于， 所述通 过所述客户端向所述 服务器发起 NTLM质询请求， 包括： 获取目标端口 的端口号； 根据所述端口号， 选择待发送的NTLM协商数据包； 所述客户端发送所述NTLM协商数据包至所述服务器， 请求获取所述服务器的NTLM质询 响应。 4.根据权利要求3所述的基于NTLM认证的主机信息识别获取方法， 其特征在于， 所述 NTLM协商数据包的构造方法为： 预设NTLM协商数据包格式； 根据所述 NTLM协商数据包格式， 构建并保存所述 NTLM协商数据包至所述 客户端上； 其中， NTLM协商数据包格式， 包括： 签名、 消息类型、 协商标志、 域名字段、 工作站字段、 版本和负载。 5.根据权利要求3所述的基于NTLM认证的主机信息识别获取方法， 其特征在于， 所述服 务器接收所述 NTLM质询请求， 并向所述 客户端返回NTLM质询响应， 包括： 所述服务器接收所述NTLM质询请求， 并获取所述NTLM质询请求中的所述NTLM协商数据 包； 所述服务器根据所述 NTLM协商数据包， 获取 所述NTLM协商数据包中的协商标志； 所述服务器跟据所述协商标志， 向所述 客户端返回包 含自身主机信息的响应报文； 其中， 所述响应报文结构， 包括： 签名、 消息类型、 目标名字段、 协商标志、 服务端挑战、 保留字段、 目标信息 字段、 版本和负载。 6.根据权利要求5所述的基于NTLM认证的主机信息识别获取方法， 其特征在于， 所述客 户端接收并解析 所述NTLM质询响应， 获取 所述服务器的主机信息， 包括： 所述客户端接收所述 服务器返回的包 含自身主机信息的响应报文； 根据所述响应报文， 得到包 含所述服务器主机信息的目标信息结构； 对所述目标信息结构进行解析， 获取 所述服务器主机信息 。 7.根据权利要求6所述的基于NTLM认证的主机信息识别获取方法， 其特征在于， 所述目 标信息结构的获取 方式为： 根据所述响应报文的结构， 获取目标 数据； 根据所述目标 数据， 计算目标信息 字段的相对偏移， 得到目标信息缓冲区偏移；权　利　要　求　书 1/2 页 2 CN 115549927 A 2根据所述目标信息缓冲区偏移和结构中的目标信息长度， 获取目标信息缓冲区结构， 以此得到所述目标信息结构。 8.一种实施权利要求1 ‑7中任一项所述的基于NTLM认证的主机信息识别获取方法的装 置， 其特征在于， 包括： 通信建立模块， 用于在客户端和服 务器之间建立连接； NTLM质询请求模块， 用于通过 所述客户端向所述 服务器发起 NTLM质询请求； NTLM质询响应模块， 用于所述服务器接收所述NTLM质询请求， 并向所述客户端返回 NTLM质询响应； 解析模块， 用于所述客户端接收并解析所述NTLM质询响应， 获取所述服务器的主机信 息。 9.一种电子设备， 其特 征在于， 包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处理器被配置为执行所述可执行指令时实现权利要求1 ‑7中任一项所述的 基于NTLM认证的主机信息识别获取 方法。权　利　要　求　书 2/2 页 3 CN 115549927 A 3