内网渗透—横向移动&NTLM-Relay重放攻击&Responder中继攻击

前言

与NLTM认证相关的安全问题主要有Pass The Hash、利用NTLM进行信息收集、Net-NTLM Hash破解、NTLM Relay几种。PTH前往期文章复现，运用mimikatz、impacket工具包的一些脚本、CS等等都可以利用，NTLM Relay又包括（relay to smb,ldap,ews）可以应用在获取不到明文或HASH时采用的手法，但也要注意手法的必备条件。

实验环境

实验环境没有固定的了，有时候自己搭建的环境可以，有时候又不行。有时候小迪的环境可以，有时候也不行，哎，随遇而安吧。

kali：192.168.145.171
Web：192.168.145.138，192.168.22.31
PC：192.168.22.27

NTLM-Relay重放

NTLM-Relay可以通过smb、ldap、ews协议进行重放，这里就通过smb协议来进行重放实验。我们通过smb协议去远程访问主机的话，它是会拿你当前的账号密码去进行一个匹对。比如A主机的账号密码是admin/passwd，而B主机的账号密码也是admin/passwd，那么A主机就可以直接远程访问B主机。这是smb的特性，也是Relay攻击的前置条件，就是通讯的双方账户与密码是一致。

案例测试

主机的账号密码。

PC1
本地账号密码： .\administraotr:3143237103Aa
域账号密码：god\wlwznb:3143237103Aa

PC2
本地账号密码： .\administraotr:3143237103Aa
域账号密码：god\wlwnb666:3143237103Aa

当前PC1账号是wlwznb，我们远程访问一下PC2试试，显示拒绝访问的。

此时我们