拦截星球！：NTLM中继的重生或如何在一分钟内成为域管理员

本篇文章是延续之前两项研究（参见[链接1]和[链接2]）的逻辑发展。

在第一篇文章中，我讨论了经典SMB中继在现代攻击环境下的应用。第二篇文章则涉及名为"SMB劫持"的新技术，即使出站SMB会话使用Kerberos认证也能执行代码。

本次将重点讨论另一种基于经典NTLM中继的技术。该技术本质上并无创新，与SMB中继的区别仅在于数据重定向的目标服务，但其攻击威力却远超原始版本。

如您所知，域网络中的控制器受到名为"SMB签名"的简单有效机制保护，因此无法将中继指向DC作为第三方主机。问题在于，Active Directory作为域核心系统（对外表现为LDAP服务器），默认不要求远程网络交互时强制签名数据包！委婉地说，这是系统中一个相当明显的后门，留下原因未知。可能是为了向后兼容而故意设置，也可能是微软员工认为既然没有现成攻击工具，就没有必要担心。

缺乏针对LDAP（Active Directory）的NTLM中继工具也令人费解。这个攻击向量相当明显，但相关研究极少，或许研究人员根本没想到域控制器在默认配置下会如此脆弱。

2012年Blackhat大会上，Zack Fasel展示了名为ZackAttack的工具。其宣称的功能中包含LDAP中继。尽管实现较为粗糙但部分可用，对我而言Zack的主要贡献并非工具本身，而是揭示了Active Directory不强制数据包签名的事实。经过相当长时间后，我终于着手研究该主题，并在Intercepter-NG中实现了可用的攻击方案。

攻击实施只需满足一个条件：需要知道域管理员当前正在使用哪台计算机。攻击者甚至不需要加入域，只需接入网络即可。与其他攻击类似，为加速进程，会向受害者流量中注入指向Intercepter伪Web服务的链接，该服务将要求NTLM认证。在网页浏览过程中，受害者将自动且无感知地发送认证数据，这些数据随后被重定向到Active Directory。攻击结果将是创建一个具有域管理员权限的新用户。

攻击已在Windows 2003和2008R2服务器系统上成功测试，同样应适用于Windows 2012，因为"域控制器：LDAP服务器签名要求"策略默认同样设置为"无"。

新版本Intercepter-NG计划于秋季发布，届时可亲自尝试实施此攻击。