NTLM-Relay

为什么使用 NTLM

NTLM 是一个过时的协议。与 Kerberos 相比，它的安全性和功能更少。

• 回退选项– 如果 Kerberos 失败，客户端将回退到 NTLM。
• 工作组身份验证- NTLM 仍用于对配置为工作组成员的系统进行身份验证。
• 本地身份验证- NTLM 在非域控制器上的本地登录身份验证期间运行。
• 向后兼容性——Windows 95、Windows 98 和 Windows NT 4.0 等旧系统不是 Active Directory 域的成员，因此它们使用 NTLM 来验证本地登录。
• 不存在的 SPN – 如果客户端请求 Active Directory (AD) 中不存在的服务主体名称 (SPN)，Kerberos 将无法工作。例如，使用 IP 而不是名称来访问资源而不注册 SPN。
• 无法连接到 DNS 或 DC – 当客户端和 DNS/DC 之间没有连接时，将使用 NTLM。
• 混合环境——NTLM 仍可用于将非域客户端与域客户端或域帐户与本地用户帐户相结合的混合环境中。

什么是NTLM-Relay攻击

impacket-ntlmrelayx -t target/victim -smb2support -c commands

攻击失败

• 重启环境
• 关闭杀软

攻击工具

• Impacket
• responder