ntlm relay 中继攻击

原创 于 2025-07-07 07:34:21 发布 · 1k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux #web安全 #服务器

ntlm relay攻击实验及攻击流程深度解析

这篇文章主要介绍ntlm relay攻击流程,以及作者在思考ntlm relay攻击时抛出的一些问题,和对这些问题的解决,先看一下ntlm relay攻击的过程

  • 客户: 192.168.72.159
  • 服务器: 192.168.72.174
  • 中间人(攻击者): 192.168.72.162

首先说明以下,ntlm 作为底层协议,需要有其他高级协议的支持,比如说 smb、http,ntlm 嵌入这些协议里提供身份验证。

ntlm通信各个如下:
  • ntlm身份验证阶段
  • 第三方协议通信会话阶段

ntlm 身份验证阶段流程

客户向服务器发送 smb 请求,正常 ntlm 验证流程:

  1. 客户向服务器发送 ntlm 协商消息

  2. 服务器向客户发送挑战消息,这里A主要作用如下:

    • 返回第一步协商后的结果。
    • 返回一个挑战值(随机生成的)。

  3. 客户对这个挑战值进行一系列运算,将运算结果作为认证消息发送给服务器。

  4. 服务器也经历同样的一系列运行,将是否认证成功作为结果发送给客户。

客户向服务器发送 smb 请求,中间人攻击后的 ntlm 验证流程:

  1. 客户向中间人发送 ntlm 协商消息,中间人转发给服务器。

  2. 服务器返回挑战消息给中间人,中间人转发给客户。

  3. 客户发送认证消息给中间人,中间人将认证消息转发给服务器。

  4. 服务器返回验证成功的消息给中间人,中间人获得一个会话。

  5. 此后中间人拒绝客户的所有连接,自己作为客户端与服务器交互。

实验1:常规 relay 攻击过程

第一步:
攻击者攻击:python3 ntlmrelayx.py -t smb://192.168.72.174 -c ipconfig -smb2support

受害用户受害:dir \\192.168.72.162\c$
第二步:分析数据包(我已经抓下来了)

查看所有关于客户(客户端)的信息,发现身份验证后的会话阶段,其向C发送的请求报文被C(攻击者)拒绝。

smb2 && (ip.src==192.168.72.159 || ip.dst==192.168.72.159)

在这里插入图片描述

查看所有关于攻击者的报文,发现身份验证后对目标攻击的过程。

smb2 && (ip.src==192.168.72.162 || ip.dst==192.168.72.162) && (ip.src != 192.168.72.159) && (ip.dst != 192.168.72.159)

在这里插入图片描述

同时攻击成功:

在这里插入图片描述

中继攻击的核心

核心在于验证阶段,服务器会验证客户发过来的哈希摘要,而这个摘要若被攻击者监听,且原封不动地中继过去,即可造成 ntlm relay 攻击。

mic 签名不是防止 relay

服务器通过验证 mic 来验证协商消息、挑战消息、验证消息是否被篡改,mic 实现原理如下:

HMAC_MD5(Session key, NEGOTIATE_MESSAGE + CHALLENGE_MESSAGE + AUTHENTICATE_MESSAGE)

攻击者的中继攻击是原封不动地发送客户端的协商消息、挑战消息、验证消息,包括 mic 签名,所以攻击者发送的数据都是服务器承认的合法数据。

由于受 mic 签名的影响,攻击者不能修改协商消息、挑战消息、验证消息,但可以在不影响中继攻击的前提下修改其他不受 mic 签名保护的内容,例如:

用户发给攻击者的协商数据包的 security mode 数据(这里的 security mode 没有在三条消息之中,所以不受 mic 签名的保护,中间人可随意修改):

在这里插入图片描述

中间人发给服务器的 security mode 数据:

在这里插入图片描述

阻止 relay 攻击的方法

session key 进行签名或加密

如果会话阶段要求签名,那么会话阶段将依赖计算新的 session key 并派生其他密钥,来确保会话数据包的完整性。

然而,这个 session key 是客户端和服务器端各自独立计算出一个相同的、对称的密钥。

如果服务器要求使用 session key 派生的密钥加密或签名后续的 http、smb 协议的通信内容,那么 relay 攻击将失效

  • 原因:攻击者无法计算出签名依赖的 session key
  • 结果:即使我们能通过身份验证过渡到会话阶段,但是无法发送正确签名的数据包,服务器拒绝。
我们后续利用 CVE-2019-1040:ntlm mic 签名绕过这一漏洞来绕过以上这一限制,使得会话阶段服务器不校验签名。
我们之前说过 mic 签名本身不会影响中继攻击,真正影响中继攻击的是会话阶段引入签名的这一机制。

我们可以修改协商消息的标志位让服务器在会话阶段禁用签名。
但是此标志为受 mic 签名保护,所以要使用 CVE-2019-1040 来绕过。
  • Disabled:这意味着不管理签名(基本上这个选项没了)
  • Enabled:此选项表示机器设置了有签名的能力,但不是必须要签名
  • Required:表示机器通信时需要签名,否则宁愿不通信

选项存在于注册表 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 下的

  • enablesecuritysignature
  • requiresecuritysignature

在这里插入图片描述

ok,理论成功我们进行实验

实验 2:需要签名的第三方协议是否能 relay

第一步
  • 将服务器 A 的 enablesecuritysignature 和 requiresecuritysignature 设置为 1。
  • 将用户 B 的 enablesecuritysignature 和 requiresecuritysignature 设置为 1。
第二步:
攻击者攻击:python3 ntlmrelayx.py -t smb://192.168.72.174 -c ipconfig -smb2support

受害用户受害:dir \\192.168.72.162\c$
第三步:wireshark查看(我已经将包抓下来了,前两步可跳过)
wireshark输入,表示只看有关攻击者的数据包
smb2 && (ip.src==192.168.72.162 || ip.dst==192.168.72.162) && (ip.src != 192.168.72.159) && (ip.dst != 192.168.72.159)
第四步:观察攻击者发送的协商请求数据包

攻击者发送协商请求,希望不要会话阶段进行签名,如下图,要点

  • 攻击者发送的协商请求数据包
  • security mode 的 enabled 和 required 都设为 0,表示不希望会话阶段进行签名

在这里插入图片描述

第五步:观察服务器响应的协商请求数据包

服务器表明,会话阶段必须要签名,否则不进行通信,如下图,要点:

  • 服务器返回的协商请求
  • security mode 的 enabled 和 required 都设为 1,表明,会话阶段必须要签名,否则不进行通信

在这里插入图片描述

第六步:观察会话阶段攻击者的请求

会话阶段,服务器发送的请求没有签名,我们之前讲过原因,如下可看到攻击者发送的请求的签名 Signature 为0000000000000000000000

在这里插入图片描述

第七步:观察服务器的响应

可以看到,拒绝服务

在这里插入图片描述

同时观察攻击者脚本回显信息:

在这里插入图片描述

显然,服务端验证了签名并进行了阻止。

重放到 ldap

域环境中,通过 ldap 协议访问活动目录数据库,而且支持 NTLM 认证,所以我们可以将其他协议 relay 到 ldap 协议。

  • http 协议 relay 到 ldap 协议,会话阶段不需要签名,攻击成功。
  • smb 协议 relay 到 ldap 协议,会话阶段需要签名,攻击将失败。(解决方法:CVE-2019-1040 漏洞篡改访问 smb 服务时 NTLM身份验证阶段的协商消息中的标志位。)

动目录数据库,而且支持 NTLM 认证,所以我们可以将其他协议 relay 到 ldap 协议。

  • http 协议 relay 到 ldap 协议,会话阶段不需要签名,攻击成功。
  • smb 协议 relay 到 ldap 协议,会话阶段需要签名,攻击将失败。(解决方法:CVE-2019-1040 漏洞篡改访问 smb 服务时 NTLM身份验证阶段的协商消息中的标志位。)

出现以上差异的原因是,客户端访问 smb 服务开启了会话签名(通常是域环境的默认策略),所以攻击者诱使用户发过来的协商消息的标志位明确要使用会话签名。然而客户端访问 http 服务比较宽松,没有启用相关标志位。

NTLM-relay攻击
渗透之路,攻防之间皆学问
03-07 2316
在上一篇笔记中,介绍了ntlm网络认证的原理 ——> NTLM网络认证协议分析及Net-NTLMhash的获取,我们获取了Net-NTLMhash值,但是我们爆破不出密码,可以使用NTLM-relay攻击,relay就是中继的意思。 NTLM Relay原理 在Client视角下,Attacker是它的服务端,模拟客户端完成访问请求。 在Server视角下,Attacker是它的客户端,伪造客户端完成身份验证。 攻击者所做的事情只是把所有客户端的请求relay到服务端,并把所有服务端.
NTLM Relay(中继)攻击
谢公子的博客
03-27 4065
在讲NTLM Relay之前,先了解下NTLM认证,传送门:Windows本地认证和NTLM认证
NTLM/smb 中继攻击
灰太的表格的博客
10-19 1641
NTLM/smb 中继攻击
2021-10-15NTLM中继攻击ntlm delay)
qq_45290991的博客
10-15 2482
终于结束了,虽然没有毕业后成为一名red进入鹅产,但是到了小产业也感觉很好。齐名虽然年轻,但是朝气蓬勃。 我觉得同事都很开心,搞渗透测试运维也不错驻场。 一、原理 1.1ntlm认证机制 参考资料:Windows本地认证和NTLM认证 总的来说就是windows下有2种认证机制,kerb和ntlmntlm又分为第一版本和第二版本),kb用于域内,一般是kb优先用,不行了域内才会开始用ntlm。win2000以后,ntlm认证方式的hash(密码)都会被存入到SAM文件中,域内会存入ntdl。tdl
域渗透|NTLM 中继攻击
weixin_42282189的博客
09-21 1038
作者: r0n1n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 进入内网之后想获取运维人员(特定人员)的系统密码,在已经获得内网Linux或者代理隧道的前提下利用社会工程学或者水坑攻击的方式来获取特定机器的权限。 0x02 协议 1、NTLMHash:将明文口令转换成十六进制,转换成Unicode格式,然后对Unicode字符串进行MD4加密,这个结果就是32位的十六进制NTLMhash。 2、NTLM协议认证过程 1、客户端向服务器发送包含 “登录名”的请.
内网安全-横向移动-NTLM中继攻击
weixin_63920195的博客
07-20 528
这两个是用在mimicatz获取明文hash失效的情况。
内网渗透—横向移动&NTLM-Relay重放攻击&Responder中继攻击
2301_76227305的博客
08-24 1147
可以看到整个实验下来我是没有抓取hash或者密码的,但是仍可以成功横移的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
有签名和无签名ntlm relay攻击实验的数据包,ntlm relay攻击实验用
10-20
然而,NTLM协议在设计上存在一些缺陷,这些缺陷可被利用来进行NTLM中继攻击NTLM Relay Attack)。攻击者通过中继攻击,可以在不直接破解密码的情况下,截获和重放认证信息,从而实现对内网的非法访问。 在进行...
浅析域内NTLM Relay攻击
2401_84466229的博客
05-27 1482
NTLM Relay是一种中间人攻击的方式,一般而言都是被动攻击,等待连接操作,但PetitPotam的出现,发生了一些改变。正如上面实验,在两台域控都安装了ADCS的情况下,不需要被动等待即可发起攻击。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要。
域渗透之中继攻击
蚁景网安学院
07-18 953
NTLM hashNTLMhash通常是指Windows系统下SecurityAccount Manager中保存的用户密码hash。通常Mimikatz是通过读取lsass.exe进程...
内网安全NTLM-Relay
qq_61553520的博客
01-28 2148
NTLM Hash,直接PTH;没有NTLM Hash,尝试抓取Net NTLM Hash,暴力破解明文密码,中继攻击
内网渗透之横向移动NTMLRelay(中继)攻击-Inveigh&NTLM-Relay重放
m0_62207170的博客
05-01 1343
内网渗透之横向移动NTMLRelay(中继)攻击-Inveigh&NTLM-Relay重放
AD 横向移动-SMB 中继攻击
最新发布
weixin_41951301的博客
06-01 112
本文通过 Google 翻译这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。注:因 LDAP 概念模糊的原因,本文刻意删除了有关 LDAP 中继利用的部分。
一文详解Ntlm Relay
2401_84466359的博客
10-17 1140
Ntlm Rleay翻译过来就是Ntlm 中继的意思,也肯定是跟Ntlm协议是相关的,既然要中继,那么攻击者扮演的就是一个中间人的角色,类似于ARP欺骗,ARP欺骗就是在一个广播域中发送一些广播,然后大声问这个IP地址的MAC地址是多少啊???如果有不怀好意的人回答了,那么就造成了ARP欺骗,好似一个中间人攻击。
内网渗透之NTLM网络身份认证及NTLM ralay 攻击
2302_80514516的博客
04-28 2295
本次写的内容和知识点有点多,基本上可分为,简述三大认证,介绍本地认证和NTLM网络认证,NTLM网络认证的过程和原理,流量包分析NTLM网络认证,基于NTLM网络认证的缺陷展开攻击的方式,像是哈希传递,NTLM中继攻击NTLM-hash的明文爆破,三个攻击方式,其中哈希传递我单独写了一篇文章,有兴趣的自行主页观看。
Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击
MVP黄钊吉(發糞塗牆)
08-04 4984
在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。
SMB中继——内网渗透
include_voidmain的博客
04-26 3599
0x01 SMB协议 SMB概述: SMB(ServerMessage Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。 SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。 SMB使用了NetBIOS的应用程序接口 (ApplicationProgram Interface,简称API),一般端口使用为139,4
利用MultiRelayx.py进行NET-NTLM relay攻击,窃取win7的net-ntlm hash攻击winserver2012,从而获得winserver2012控制权
05-22
### MultiRelayx.py 实现 NET-NTLM Relay 攻击教程 #### 工具简介 `MultiRelayx.py` 是 `Impacket` 库中的一个重要工具,用于实现 NTLM 中继攻击。它能够监听网络流量,捕获目标主机发送的 NTLM 身份验证请求,并将其中继到另一个目标服务器以获取更高权限。 --- #### 环境搭建 为了成功实施此攻击,需满足以下条件: 1. **Kali Linux** 安装环境:确保已安装最新版本的 Impacket 工具集。 2. **目标机器配置**: - Win7 作为初始目标,提供身份验证哈希。 - Windows Server 2012 为目标提权对象。 3. **网络设置**:两台目标机与攻击机处于同一局域网内。 --- #### 步骤说明 ##### 1. 启动 MultiRelayx.py 进行中继攻击 运行以下命令启动 `MultiRelayx.py`,指定要中继的目标地址(Windows Server 2012)。 ```bash python multiRelayx.py -dc-ip <DC_IP> -targets <TARGETS_FILE> ``` 其中: - `-dc-ip`: 指定活动目录控制器 IP 地址。 - `-targets`: 包含目标主机列表的文件路径。 当有客户端尝试连接时,脚本会自动处理 NTLM 认证过程并将凭证中继至下一阶段[^1]。 ##### 2. 投毒 LLMNR/NBNS 请求 为了让 Win7 主动发起认证请求,可以使用 Responder 工具模拟虚假的服务响应。这一步通常涉及广播虚假 DNS 解析结果来诱使受害者向我们发出 SMB 或 HTTP 登录尝试。 ```bash responder -I eth0 --lm-hash-only ``` 一旦触发登录行为,则会被 MultiRelayx.py 截取下来并重定向给设定好的上游目标——即此处提到的 Windows Server 2012[^3]。 ##### 3. 获取 SYSTEM 权限 假设一切顺利的话,在完成上述操作之后,应该可以看到来自被黑入系统的交互式 shell 输出显示当前用户已经是 Administrator 组成员甚至直接成为 SYSTEM 用户了! --- #### 注意事项 尽管这种方法非常强大但也存在一些局限性和风险需要注意的地方包括但不限于以下几个方面: - 需要物理接入内部网络才能有效发挥作用; - 如果遇到启用签名功能(SMB Signing)的情况则无法正常工作因为这样做的目的是防止中间人篡改通信数据包内容从而破坏整个协议栈的安全机制设计初衷所在之处就在于阻止此类非法劫持现象的发生发展蔓延开来形成更大规模的影响范围扩大化趋势加剧恶化下去的局面出现可能性大大增加上去很多倍数以上不等具体取决于实际应用场景下的具体情况而有所不同而已罢了而已啦哈哈哈!!![^2] ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值