NTLM y SMB relay

Al obtener el challenge conseguido(hash) anteriormente puede ser muy robusta su contrasela y no romperla, pero como conseguiriamos el hash del usuario para cifrar paquetes o conseguri TGT y TGS

Obviamente no podemoas hacer pass the hash por que no es un hash de usauruio si no de challenge que cifra ek nonce, entonces podemo shacer lo siguiente:

NTLM relay

Y utlizo la misma tecnica con responder para envenenar y le enviamos nuestra ip para que se conecte a nuestro servidor smb, aqui levantamos un servidor smb falso para coger la peticion y reenviarla al usaurio administrador, el usuario administrador nos los reenvia con nostros cifrado con su clave privada y se la mandamos al servidor que nos interesa y esa maquina nos da acceso a la maquina, cortamos acceso y tenemos el hash. como un man in the middle.
AUnque no sepamos cual es el hash nin la contraseña en plano no nos importa porque quien cifra es el cliente original y nosostros los interceptamos

Para hacer la siguiente tecnica tiene que estar deshabilitado el firmado de smb(autentica el origen), para saber que maquina la tiene activa o no hacemos lo siguiente

Entonces solo lo podriamos hacer solo la que lo tiene desabilitado(fase) y si hacemos un ntlm relay y lo hariamo mediante smb relay

añadimos la maquina en un target txt

y para hacer el relay hacemo slo siguiente con impacket

le decimos que nos haga un raly de ntlm que nos soporte smb2 con los tragets indicados y nos levanta varios clientes como smb http etc y tambien servidores http y smb y nos levanta servidor y cliente porque vamos a actuar como la maquina que recibe la peticion, la recibimos mediante el servidor y la mandaremos como si fuesemos un cliente

Por otro lado vamos a envenenar el trafico para cuando se equivoque un cliente al hacer un peticion a un recurso compartido, intente autenticarse contra nuetro cliente smb y yo rediriga la peticion hacia la maquina que me interesa

tenemos qeu modificar el archvio del responder porque por defecto tambien nos levanta un servidor smb y el http y no nos interesa porque ya tenemos uno levantado con impacket

envenenamos el trafico y en el momento que alguien se equivo al utilizar un recurso compartido entrara en nuestro servidor, y nuestro serevidor smb redireccionara la peticion al target que hemos indicado, que es nuestra maquina

Al equivocarse algguein pasa esto, en este caso el usaurio administrador a fallado y nuestro impacket a recibido una conexion, la controla y se autentifica contra la maquina que queremos en su nombre haciendo la negociacion y redirigiendo el challenge

y a utilizado esta conexion para volcarnos los hashes de la sam de los usuarion

Con este modulo podemos interactuar con la maquina de la misma manera si algun usuario se equivoca

y podemos interactuar con ella con proxychains, vamos a modificar el archivo de configurar y le vamos a decir que la herramienta que ejecutemos nos rediriga todo el trafico que genere por el proxy qeu queramos

por el puerto 1080 que es el puerto que esta escuchando este ntlm relay

entonces esto lo que acepta son peticiones al puerto 1080 y cuando acepta la redirige automaticamente por la sesion qeu tenemos autenticada, como vemos es la 192.168.20.133