全站最新全详细Outlook Ntlm Relayx攻击方法复现

Outlook Ntlm Relayx攻击方法复现

一.关于outlook ntlmrelayx攻击介绍

参考大牛博客如下，这里再次感谢牛子哥谢公子公众号里提到的攻击方法和思路。

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

整个攻击流程如图所示，假设我们现在控到一台域内普通用户权限的主机，而且只有普通用户的hash值，想要拿下全域，获得dcsync权限，刚好我们找到了装有outlook的管理员单机，且其在线，这样我们就可以使用邮件钓鱼，通过ntlmrelayx的方法获取administrator权限

二.攻击方法复现

首先，我们将当前所控主机更新dns，使得其能够通过域名解析
这里调用powershell

更新之后，因为当前我的整个实验环境都是自行搭建，因此Exchange邮服没有开启smtp认证服务，这里一定要提前打开，防止后续步骤出现问题，报错

使用web端ECP打开管理界面，找到该位置，进行配置。详细配置方法可参考其他smtp配置方法，总体来说难度不是很大

这里我们前期的实验环境基本上搭建完成了，还需要一个win10主机搭建outlook客户端，并且保证管理员权限登录且账号在线，方便我们后续工作的开展

outlook的安装配置详情参见博客

https://www.cnblogs.com/vuenote/p/10791391.html

所有工作准备好之后。我们开始攻击
首先用impacket-secretsdump抓取一下域内krbtgt票据，由于权限不够，肯定抓不到

这里可以看到，由于我们权限不足，所以抓取不到krbtgt用户的票据和hash值
首先我们开启ntlm中继

然后我们就构造一份邮件，发送到管理员邮箱中
这里我们使用谢公子给出的脚本，脚本如下

这里实际环境中可能需要对server smtp认证这块进行修改，如果25端口无法通过认证，在配置好smtp服务器之后没修改为587端口即可，发送邮件

这里虽然我的邮件成功发送至管理员邮箱，但是ntlm没能成功中继到hash，经过查询之后了解到
由于outlook版本号的不同，该攻击手段并不能保证百分之一百能够成功，由于时间问题，没来的及总结和尝试其他版本号，但整体对ntlmrelayx outlook相关攻击方法有了一个全面的认识和掌握。这里做一个分享，希望各位师傅斧正。

最后不死心的我使用了administrator账号抓取了一下，可以抓取到，但是实际上我们最终的目的是通过ntlm中继将普通用户权限赋予acl，使其具有dcsync全域的权限。
————————————————————————————————————
2022年1月14日更新

经过不断的研究和试验，对比Outlook2016版本和2013版本，最终找到了一种解决方式
可以NTLM Relay hash
首先我们用浏览器请求访问一下我们创建的http服务

http://攻击机ip/test

虽然请求不到该资源，但要注意前面我们更新的DNS和攻击机IP是否能够对应
解决该问题之后，最好关闭windows defender security Center
对于windows来说，彻底关闭defender的方法如下
win+r 输入 gepdit.msc

再次向目标发送邮件提交请求，NTLM Relayx获得hash

功夫不负有心人，最终还是成功了。心情非常巴适。