全站最新全详细Outlook Ntlm Relayx攻击方法复现

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第1张图片

Outlook Ntlm Relayx攻击方法复现

一.关于outlook ntlmrelayx攻击介绍

参考大牛博客如下,这里再次感谢牛子哥谢公子公众号里提到的攻击方法和思路。

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第2张图片
整个攻击流程如图所示,假设我们现在控到一台域内普通用户权限的主机,而且只有普通用户的hash值,想要拿下全域,获得dcsync权限,刚好我们找到了装有outlook的管理员单机,且其在线,这样我们就可以使用邮件钓鱼,通过ntlmrelayx的方法获取administrator权限

二.攻击方法复现

首先,我们将当前所控主机更新dns,使得其能够通过域名解析
这里调用powershell
在这里插入图片描述
更新之后,因为当前我的整个实验环境都是自行搭建,因此Exchange邮服没有开启smtp认证服务,这里一定要提前打开,防止后续步骤出现问题,报错

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第3张图片

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第4张图片

使用web端ECP打开管理界面,找到该位置,进行配置。详细配置方法可参考其他smtp配置方法,总体来说难度不是很大

这里我们前期的实验环境基本上搭建完成了,还需要一个win10主机搭建outlook客户端,并且保证管理员权限登录且账号在线,方便我们后续工作的开展

outlook的安装配置详情参见博客

https://www.cnblogs.com/vuenote/p/10791391.html

所有工作准备好之后。我们开始攻击
首先用impacket-secretsdump抓取一下域内krbtgt票据,由于权限不够,肯定抓不到

在这里插入图片描述
这里可以看到,由于我们权限不足,所以抓取不到krbtgt用户的票据和hash值
首先我们开启ntlm中继

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第5张图片
然后我们就构造一份邮件,发送到管理员邮箱中
这里我们使用谢公子给出的脚本,脚本如下
全站最新全详细Outlook Ntlm Relayx攻击方法复现_第6张图片
这里实际环境中可能需要对server smtp认证这块进行修改,如果25端口无法通过认证,在配置好smtp服务器之后没修改为587端口即可,发送邮件

在这里插入图片描述
这里虽然我的邮件成功发送至管理员邮箱,但是ntlm没能成功中继到hash,经过查询之后了解到
由于outlook版本号的不同,该攻击手段并不能保证百分之一百能够成功,由于时间问题,没来的及总结和尝试其他版本号,但整体对ntlmrelayx outlook相关攻击方法有了一个全面的认识和掌握。这里做一个分享,希望各位师傅斧正。
全站最新全详细Outlook Ntlm Relayx攻击方法复现_第7张图片
最后不死心的我使用了administrator账号抓取了一下,可以抓取到,但是实际上我们最终的目的是通过ntlm中继将普通用户权限赋予acl,使其具有dcsync全域的权限。
————————————————————————————————————
2022年1月14日更新

经过不断的研究和试验,对比Outlook2016版本和2013版本,最终找到了一种解决方式
可以NTLM Relay hash
首先我们用浏览器请求访问一下我们创建的http服务

http://攻击机ip/test

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第8张图片

虽然请求不到该资源,但要注意前面我们更新的DNS和攻击机IP是否能够对应
解决该问题之后,最好关闭windows defender security Center
对于windows来说,彻底关闭defender的方法如下
win+r 输入 gepdit.msc

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第9张图片

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第10张图片
全站最新全详细Outlook Ntlm Relayx攻击方法复现_第11张图片
全站最新全详细Outlook Ntlm Relayx攻击方法复现_第12张图片
全站最新全详细Outlook Ntlm Relayx攻击方法复现_第13张图片

再次向目标发送邮件提交请求,NTLM Relayx获得hash

全站最新全详细Outlook Ntlm Relayx攻击方法复现_第14张图片功夫不负有心人,最终还是成功了。心情非常巴适。

你可能感兴趣的:(域攻击手段,安全,web安全,http)