拦截星球!NTLM-Relay重生:一分钟内成为域管理员
2014年6月16日 星期一
技术背景
本文是继此前研究的延续性工作。首篇文章讨论了经典SMB Relay在现代渗透环境中的应用,第二篇则介绍了通过SMB Hijacking技术实现Kerberos会话下的代码执行。
核心技术原理
本次重点分析基于经典NTLM Relay的新型攻击技术。与SMB Relay的唯一区别在于中继目标服务不同,但攻击威力远超原始版本。
关键漏洞发现:
- 域控制器虽受SMB Signing机制保护无法作为第三方主机中继
- Active Directory的LDAP服务默认不强制远程网络数据包签名
- 该配置缺陷可能是出于向后兼容性考虑或微软低估了攻击可行性
技术实现细节
历史研究缺口
2012年Blackhat会议上Zack Fasel发布的ZackAttack工具虽包含LDAP中继功能,但真正突破在于揭示了AD默认不强制签名的安全缺陷。
攻击条件
- 识别当前域管理员活跃的计算机
- 攻击者无需域成员身份,仅需网络接入
- 通过注入伪Web服务链接触发NTLM认证
攻击流程
- 向目标流量注入Intercepter伪Web服务链接
- 受害者访问时自动发送NTLM认证数据
- 凭证中继至Active Directory服务
- 成功创建具有Domain Admins权限的新用户
兼容性验证
- ✅ Windows Server 2003
- ✅ Windows Server 2008R2
- ✅ Windows Server 2012(默认相同组策略配置)
工具发布
新版Intercepter-NG将于秋季发布,内含完整攻击实现。
作者:Intercepter
发布时间:08:31