NTLM-relay攻击

已于 2022-03-07 17:04:35 修改
阅读量2.1k 收藏 6
点赞数 3
分类专栏: 内网攻防 文章标签: 安全 ntlm relay攻击
于 2022-03-07 17:01:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/123333304
版权

目录

NTLM Relay原理

NTLM Relay攻击方式

Responder

真实环境中如何攻击?

在上一篇笔记中,介绍了ntlm网络认证的原理 ——> NTLM网络认证协议分析及Net-NTLMhash的获取,我们获取了Net-NTLMhash值,但是我们爆破不出密码,可以使用NTLM-relay攻击,relay就是中继的意思。

NTLM Relay原理

  • 在Client视角下,Attacker是它的服务端,模拟客户端完成访问请求。
  • 在Server视角下,Attacker是它的客户端,伪造客户端完成身份验证。
攻击者所做的事情只是把所有客户端的请求relay到服务端,并把所有服务端的请求relay到客户端。而在服务端看来,一直以来只有攻击者在跟他交互,所以自然而然就认为攻击者就是客户端,这样攻击者就达到了伪造成真正客户端的目的。

NTLM Relay攻击方式

工作组:

NTLM Relay攻击在工作组环境下感觉用处不大,因为工作组只是在一个内网环境中,各个机器并没有明确关系,所以这个时候relay的话需要账号密码相同,但是如果账号密码相同的话,为什么不直接用哈希传递呢?

域:

域环境中的hash都统一存储在域控的NTDS.dit中,如果域内没有限制域用户登录到指定机器,那么就能域用户relay到其他机器或者直接使用域控relay到域机器(域控默认开启smb签名,而其他域机器默认不开启)

实验环境:
  • 域控 192.168.10.2
  • 域成员  192.168.10.5、192.168.10.6(域管理员登录)

攻击前提:

  • 域内主机的 SMB 签名需禁用(false)默认禁用。但是域控默认开启smb签名。可以先用responder工具包里面的RunFinger.py脚本扫描域内机器的SMB签名的开放情况 RunFinger.py -i ip段

Responder

1. 修改一下responder的配置文件 Responder.conf,不让其对 hash 进行抓取。将SMB和HTTP的On改为Off:
2. 启动  Responder.py
./Responder.py -I eth1
重启 Responder.py,准备毒化(这里responder的作用就是当访问一个不存在的共享路径,将名称解析降到LLMNR/NBNS时,来抓取网络中所有的LLMNR和NetBIOS请求并进行响应)
3.  启动MultiRelay.py 
python3 MultiRelay.py -t  要攻击的域内目标  -u ALL

这里获取 10.5的权限

4. 域管理员账号或域控所在机器触发无效名称解析

为什么要域管理员账号或域控所在机器触发无效名称解析了?因为net use进行网络连接时,我们可以使用普通域账号进行连接,但是权限很低,查看不了目录。所以需要使用域管理员进行net use连接

192.168.10.6使用域管理账号进行了登录,然后访问一个随机的名称。此时kali就会获取到10.6机器域管理员的net ntlm-hash对目标进行登录

 获取到权限

认证过程

真实环境中如何攻击?

当我们拿下内网一台web机器时,在其如管理后台Web插入一条XSS,当受害者访问后台时,我们便可以自动获取其Net-NTLM Hash。双击html就能出发攻击
内网渗透(六十二)之 NTLM Realy 攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-02 1077
NTLM Realy 攻击其实应该称为Net-NTLM Realy 攻击,它发生在NTLM认证的第三步,在Response 消息中存在Net-NTLM Hash,当攻击者获得了 Net-NTLM Hash 后,可以重放Net-NTLM Hash 进行中间人攻击NTLM Realy 流程如图所示,攻击者作为中间人在客户端和服务器之间转发NTLM认证数据包,从而模拟客户端身份访问服务端的资源。NTLM Relay 攻击分为两步:第一步是捕获 Net-NTLM Hash;
你所不知道的NTLM Relay
谢公子的博客
06-28 3601
目录 NTLM Relay 捕获Net-NTLM Hash NBNS&LLMNR 打印机漏洞 图标 Outlook 系统命令 office pdf WPAD XSS XXE&SSRF 重放Net-NTLM Hash Relay To SMB Relay To EWS Relay To LDAP NTLM Relay的防御 NTLM Relay NTLM Relay其实严格意义上并不能叫NTLM Relay,而是应该叫 Net-NTLM Relay。它是发
内网渗透测试:NTLM Relay攻击分析
whatday的专栏
07-31 7002
目录 基础知识 NTLM认证过程 NTLM中继攻击原理 获得Net-NTLM Relay的思路 利用LLMNR和NetBIOS欺骗获得Net-NTLMHash 利用WPAD劫持获得Net-NTLMHash SMB Relay(SMB中继)攻击 攻击演示 Responder中的MultiRelayx.py Impacket中的smbrelayx.py Metasploit中的smb_relay模块(ms08-068) Impcaket中的ntlmrelayx.py Ending...
浅析域内NTLM Relay攻击
2401_84466229的博客
05-27 1209
NTLM Relay是一种中间人攻击的方式,一般而言都是被动攻击,等待连接操作,但PetitPotam的出现,发生了一些改变。正如上面实验,在两台域控都安装了ADCS的情况下,不需要被动等待即可发起攻击。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要。
内网安全NTLM-Relay
qq_61553520的博客
01-28 1931
NTLM Hash,直接PTH;没有NTLM Hash,尝试抓取Net NTLM Hash,暴力破解明文密码,中继攻击
NTLM Relay利用
qq_18811919的博客
03-07 3766
讲述了多种NTLM Relay的利用方式包括打印机bug以及PetitPotam强制触发NTLM认证方式以及Exchange Relay与ADCS Relay的利用
内网渗透—横向移动&NTLM-Relay重放攻击&Responder中继攻击
2301_76227305的博客
08-24 854
可以看到整个实验下来我是没有抓取hash或者密码的,但是仍可以成功横移的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
NTLM网络认证及NTLM-Relay攻击
luoxiayan的博客
09-15 289
Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证。
全站最新全详细Outlook Ntlm Relayx攻击方法复现
slash_HK的博客
01-13 2218
outlook ntlm relayx攻击手段详情 超详细!
有签名和无签名ntlm relay攻击实验的数据包,ntlm relay攻击实验用
最新发布
10-20
然而,NTLM协议在设计上存在一些缺陷,这些缺陷可被利用来进行NTLM中继攻击NTLM Relay Attack)。攻击者通过中继攻击,可以在不直接破解密码的情况下,截获和重放认证信息,从而实现对内网的非法访问。 在进行...
2021-10-15NTLM中继攻击ntlm delay)
qq_45290991的博客
10-15 2438
终于结束了,虽然没有毕业后成为一名red进入鹅产,但是到了小产业也感觉很好。齐名虽然年轻,但是朝气蓬勃。 我觉得同事都很开心,搞渗透测试运维也不错驻场。 一、原理 1.1ntlm认证机制 参考资料:Windows本地认证和NTLM认证 总的来说就是windows下有2种认证机制,kerb和ntlmntlm又分为第一版本和第二版本),kb用于域内,一般是kb优先用,不行了域内才会开始用ntlm。win2000以后,ntlm认证方式的hash(密码)都会被存入到SAM文件中,域内会存入ntdl。tdl
[内网渗透]—NTLM网络认证及NTLM-Relay攻击
Sentiment的博客
12-16 2105
Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证。
NTLMRelay的利用
Ms08067安全实验室
09-06 918
0x00 相关概念NTLM hash 和 Net-NTLM hash1、NTLM hash是指Windows系统下Security Account Manager中保存的用户密码hash。该hash的生成方法:复制将明文口令转换成十六进制的格式 转换成Unicode格式,即在每个字节之后添加0x00 对Unicode字符串作MD4加密,生成32位的十六进制数字串2、Net-NTLM hash是指网...
跟着玄武大佬学NTLM relay攻防
蚁景网安学院
05-06 664
0X01偶然间看到了玄武实验室在2018Zero Nights会议上的分享的议题《NtlmRelay Reloaded: Attack methods you do notknow》,身...
利用PetitPotam进行NTLM Relay攻击
谢公子的博客
09-18 6353
2021年7月19日,法国安全研究人员Gilles Lionel披露了一种新型的NTLM Relay攻击利用手法——PetitPotam。该漏洞利用了微软加密文件系统远程协议(MS-EFSRPC,MicroSoftEncrypting File System Remote Protocol)。MS-EFSRPC是 Microsoft 的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据执行“维护和管理操作”。利用该漏洞,黑客通过连接到LSARPC强制触发目标机器向指定远程服务器发送Net-NTL.
Ntlm Relay详解
2301_79403927的博客
11-09 275
Ntlm Rleay翻译过来就是Ntlm 中继的意思,也肯定是跟Ntlm协议是相关的,既然要中继,那么攻击者扮演的就是一个中间人的角色,类似于ARP欺骗,ARP欺骗就是在一个广播域中发送一些广播,然后大声问这个IP地址的MAC地址是多少啊???如果有不怀好意的人回答了,那么就造成了ARP欺骗,好似一个中间人攻击
NTLM/smb 中继攻击
灰太的表格的博客
10-19 1446
NTLM/smb 中继攻击
ntlm relay 原理
09-17
NTLM Relay 是一种攻击技术,利用了 NTLM(Windows 网络身份验证协议)的漏洞。该攻击允许黑客在网络中伪装成受害者与服务器进行通信,从而获取敏感信息或执行一些恶意操作。 NTLM Relay 攻击的原理如下: 1. 受害...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值